OpenSSH, anormal davranışları cezalandıran seçenekler ekledi

 (undeadly.org)
1 puan yazan GN⁺ 2024-06-08 | 1 yorum | WhatsApp'ta paylaş
  • sshd(8)'e PerSourcePenalties ve PerSourcePenaltyExemptList adlı yeni seçenekler eklendi
    • PerSourcePenalties: Anormal istemci davranışlarını algılayıp ceza uygulayan özellik
    • PerSourcePenaltyExemptList: Belirli istemci adreslerini cezalardan muaf tutabilen özellik

Anormal davranışların algılanması ve cezalandırılması

  • sshd(8), istemcinin kimlik doğrulamada art arda başarısız olması veya sshd'yi çökertmesi gibi anormal davranışları algılıyor.
  • Bu tür davranışlar algılandığında, istemci adresine belirli bir süre bağlantı reddi şeklinde ceza uygulanıyor.
  • Tekrarlanan ihlallerde ceza süresi artıyor.

Varsayılan ayarlar ve dikkat edilmesi gerekenler

  • PerSourcePenalties varsayılan olarak devre dışı, ancak yakında varsayılan olarak etkin olacak. (OpenBSD 7.6'dan itibaren)
  • NAT bloğu veya proxy arkasından çok sayıda kullanıcının bağlandığı durumlarda meşru trafik engellenebilir.
  • Ortama uygun yapılandırma için sshd_config(5) içindeki PerSourcePenalties, PerSourcePenaltyExemptList, PerSourceNetBlockSize seçeneklerinin ayarlanması gerekiyor.

GN⁺ görüşü

  • Güvenlik güçlendirmesi: Bu özellik, anormal erişim denemelerini etkili biçimde engelleyerek güvenliği artırabilir.
  • Yönetim kolaylığı: Belirli istemcileri cezadan muaf tutma seçeneği olduğu için yönetimi kolaylaştırıyor.
  • NAT ortamlarında dikkat: NAT ortamında çok sayıda kullanıcı aynı IP'yi kullanıyorsa meşru kullanıcılar engellenebilir; dikkatli olunmalı.
  • Varsayılan etkinleştirme: Varsayılan olarak etkinleştirildiğinde beklenmedik engellemeler yaşanabileceğinden, yöneticilerin ayarları önceden gözden geçirmesi gerekiyor.
  • Sektörde benzer özellikler: Benzer güvenlik özellikleri diğer SSH sunucu yazılımlarında da bulunduğundan, ihtiyaçlara göre karşılaştırmalı değerlendirme yapılmalı.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-08
Hacker News görüşleri
  • SSH sunucusu yazma deneyimi: IPv4'te CGN kullanımı nedeniyle masum kullanıcıların zarar görme olasılığı artıyor. IPv6'da yeni bir IP almak kolay olduğundan bu koruma yöntemi etkili olmayabilir. Saldırıların çoğu basit sözlük saldırılarıdır ve SSH anahtarı kullanılması önerilir.
  • SSH parola kullanımı uyarısı: İnternete açık SSH'te parola kullanmak son derece risklidir. Anahtar kullanmak hem daha kullanışlı hem de daha güvenlidir.
  • Yapılandırma karmaşıklığı: Ceza sistemi karmaşık görünüyor ve varsayılan değerler belgelenmemiş. Kaynak kodunu okumak gerekiyor ama CVS istemcisi kurmaya pek yanaşılmıyor.
  • Mevcut çözüm kullanımı: Zaten fail2ban kullanılıyor ve sshd'ye daha fazla kod eklenmesi istenmiyor.
  • Yerleşik özelliğin avantajları: MaxAuthTries ve fail2ban kullanılmıştı; yerleşik özelliğin bazı iyileştirmeler sunduğu görülüyor.
  • Özelliğe yönelik eleştiriler: Yeni bir IP almak kolay olduğundan etkisiz olabilir. Hata ayıklamayı zorlaştırabilir ve birçok şirkette sorunlara yol açabilir.
  • Botnet saldırısı sorunu: Botnet kullanan saldırılara karşı etkili olmayabilir.
  • Özelliğin gerekliliği sorgulanıyor: Mevcut çözümleri kullananlar için rahatsızlık yaratabilir. Esnek betikleme gerekiyor.
  • Güvenlik yaklaşımına eleştiri: fail2ban ve sshd'nin yeni özelliği ilkesiz bir güvenlik yaklaşımı olarak görülüyor. Yalnızca güvenilir ağlardan oturum açmaya izin verilmesi öneriliyor.
  • OpenBSD uyumluluğu sorusu: fail2ban'ın OpenBSD'ye port edilip edilmediğini bilmeyen çok kişi var.