O OpenSSH, desenvolvido como parte do projeto OpenBSD, introduziu novas opções de configuração para seu daemon SSH (sshd), prometendo mitigar tentativas maliciosas de acesso não autorizado. Esta atualização, liderada pelo desenvolvedor Damien Miller, incorpora duas funcionalidades principais: PerSourcePenalties e PerSourcePenaltyExemptList. Estas adições refinam a forma como o sshd lida com comportamentos suspeitos de clientes, garantindo que usuários legítimos não sejam impactados indevidamente.
Novas Funcionalidades do OpenSSH
PerSourcePenalties
A nova opção PerSourcePenalties permite que o sshd monitore e responda a comportamentos anormais detectados durante o processo de autenticação SSH. Quando ativada, o sshd rastreia os status de saída de seus processos de sessão pré-autenticação para identificar atividades potencialmente prejudiciais.
Exemplos de tais atividades incluem tentativas repetidas de login falhadas, que podem sugerir uma tentativa de adivinhar senhas, ou ações que causem a falha do sshd, possivelmente indicando um esforço de exploração.
Como Funciona
Sob este sistema, se um cliente exibir um comportamento que leve a um status de saída problemático, o sshd impõe uma penalidade temporária no endereço IP do cliente, bloqueando conexões futuras deste endereço e de outros dentro do mesmo bloco de rede por uma duração especificada. Este período de penalidade pode aumentar com infrações repetidas, até um limite máximo.
Esta funcionalidade é projetada para adaptar sua resposta com base na gravidade e frequência das infrações, tornando-se uma ferramenta dinâmica contra ataques de rede.
PerSourcePenaltyExemptList
A PerSourcePenaltyExemptList permite que os administradores especifiquem endereços IP ou intervalos que estão isentos dessas penalidades, garantindo que clientes confiáveis não enfrentem problemas de conexão devido a medidas de segurança rigorosas. Isso é particularmente útil para endereços que podem frequentemente acionar falsos positivos em ambientes mais sensíveis.
Impacto na Segurança
Damien Miller expressou otimismo sobre as novas funcionalidades, observando que elas “tornarão significativamente mais difícil para os atacantes encontrarem contas com senhas fracas ou adivinháveis ou explorarem bugs no próprio sshd”. Ele também indicou que, embora a funcionalidade PerSourcePenalties esteja desativada por padrão no momento, ela provavelmente será ativada automaticamente em atualizações futuras.
Comparação com Fail2Ban
Muitos podem comparar a nova funcionalidade com a ferramenta popular Fail2Ban, e estão certos; elas são bastante semelhantes funcionalmente. No entanto, estamos falando de uma implementação nativa desta funcionalidade diretamente no sshd, o que é fantástico.
É importante notar que isso não significa que o Fail2Ban não seja mais útil. Ele possui muitos recursos extras, como gerenciar vários tipos de autenticação e tratar diferentes usuários de maneiras específicas, então não se apresse em aposentá-lo quando a nova funcionalidade estiver disponível na sua implementação do OpenSSH.
Configuração e Uso
Configurando o PerSourcePenalties
Para habilitar o PerSourcePenalties, edite o arquivo de configuração do sshd (/etc/ssh/sshd_config) e adicione as seguintes linhas:
PerSourcePenalties yes
PerSourcePenaltyInterval 600
PerSourcePenaltyThreshold 5
PerSourcePenaltyDuration 3600Configurando o PerSourcePenaltyExemptList
Para adicionar IPs ou intervalos de IPs à lista de isenções, edite o mesmo arquivo de configuração e adicione:
PerSourcePenaltyExemptList 192.168.1.0/24, 10.0.0.5Após configurar, reinicie o serviço sshd para aplicar as mudanças:
sudo systemctl restart sshdAs novas funcionalidades do OpenSSH, PerSourcePenalties e PerSourcePenaltyExemptList, trazem avanços significativos na segurança do SSH, dificultando ataques de força bruta e exploração de vulnerabilidades. A implementação nativa destas funcionalidades diretamente no sshd representa um passo importante na proteção de sistemas contra acessos não autorizados.
Fonte: https://undeadly.org/cgi?action=article;sid=20240607042157
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.
