Vlákno názorů k článku OpenSSH má vlastní obranu proti hádání hesel. Jak přesně funguje? od ` - Hmm, takže jde o něco jako iptables -m...

Hmm, takže jde o něco jako iptables -m recent (který mj používám s kontrakcí na /24) vylepšený o to, že pracuje na aplikační úrovni a dokáže rozeznávat ty případy jako loginFail/inva­lid/user/nicNe­uděláno/atd. A že taky pošle hlášku "Teď ne bejby " místo -j DROP.

Za mě blacklisty nefungují, jsou platné jako v dnešní době inzerce v tištěném časopisu ABInzerce.

U ochran je nutné vybalancovat i druhou stranu - zhoršení komfortu pro legitimní uživatele(předejít muú
Pomáhá mít restriktivní nastavení, limity na spojení, ten recent a udělat whitelist (-j RETURN) pro stálé známe adresy. Změna portu je fake securit, ale redukuje nálož

Čekal jsem něco vestylu " sshd zjistí hodně pokusů" - reakce bude - nyní heslo napiš pozpátku nebo první znak hesla zdvoj. Není tohle náhodou interactive metoda?
Nebo (progresivní)tar­pitting

Doporučím článek https://www.root.cz/clanky/stavime-vlastni-e-mailovy-server-zakladni-nastaveni-systemu/, kde to je jemně taky naťuknuto. I když asi jen 10% článku. Lze to dovést do sekvence zašifrovaný klíč v zařízení + netriviální username, jeho heslo a potom sudo na roota opět s jiným heslem :)

23. 8. 2024, 23:35 editováno autorem komentáře

Já tu ochranu přístupu k SSHD řeším často také na úrovni firewallu.

Technika "napiš heslo pozpátku" / "zdvoj znak" zní zajímavě, ale má to svá úskalí.

* jdou jen jednoduché manipulace se znaky, při složitějších by server musel držet heslo v plaintextu a počítat nový hash
* pokud dá server vědět uživateli, tak to bude zpracovatelné i pro útočníky

Takže ve výsledku, je dobré znát jak takové útoky probíhají a namixovat si ochranné prvky podle potřeby.

99,99% běžných brute force útoků odstíní pár "jednoduchých" opatření.