![Klávesnice šílený programátor](https://i.iinfo.cz/images/104/klavesnice-sileny-programator.webp)
Damien Miller přidal do démona SSH nové volby PerSourcePenalties
a PerSourcePenaltyExemptList
, které umožňují už v samotném sshd
trestat nežádoucí chování a naopak chránit konkrétní klienty. Doposud bylo nutné tuto funkci zajistit externími službami, například pomocí nástroje Fail2ban.
Pokud je funkce povolena, bude server sledovat kód ukončení (exit status) svých podřízených procesů předautorizační relace. Prostřednictvím těchto informací může odchytit situace, kdy se relace neuskutečnila kvůli chybné autorizaci. Mezi tyto stavy patří situace, kdy se klient opakovaně neúspěšně pokusil o ověření. To může znamenat, že probíhá útok na jeden nebo více účtů například pomocí hádání hesla.
Pokud je taková podmínka pozorována, sshd nasadí určitou sankci – například zabrání po dobu 30 sekund dalšímu pokusu o autentizaci ze stejné adresy. Doba uvalení sankce pak bude při opakujících se pokusech dále růst až do konfigurovatelného maxima.
Sankce se navíc může týkat i celého adresního rozsahu, který je definován pomocí volby PerSourceNetBlockSize
. Pokud naopak potřebuje správce ochránit některé rozsahy před nechtěným odříznutím, může je přidat pomocí volby PerSourcePenaltyExemptList
.
Celá funkcionalita je připravená a bude pravděpodobně dostupná v nadcházejícím OpenBSD 7.6. Nejdříve bude ve výchozím stavu vypnutá, ale vývojáři očekávají, že ji v blízké budoucnosti automaticky zapnou.
(Upozornil Adam Kalisz.)