OpenSSH introduit des options pour sanctionner les comportements anormaux

 (undeadly.org)
1 points par GN⁺ 2024-06-08 | 1 commentaires | Partager sur WhatsApp
  • De nouvelles options, PerSourcePenalties et PerSourcePenaltyExemptList, ont été ajoutées à sshd(8)
    • PerSourcePenalties : fonctionnalité qui détecte les comportements anormaux des clients et applique des sanctions
    • PerSourcePenaltyExemptList : fonctionnalité permettant d’exclure certaines adresses clientes des sanctions

Détection et sanction des comportements anormaux

  • sshd(8) détecte les comportements anormaux des clients, comme des échecs d’authentification répétés ou des tentatives provoquant le plantage de sshd.
  • Lorsqu’un tel comportement est détecté, une sanction est appliquée à l’adresse du client en refusant les connexions pendant une certaine durée.
  • En cas de violations répétées, la durée de la sanction augmente.

Configuration par défaut et points d’attention

  • PerSourcePenalties est désactivée par défaut, mais devrait bientôt être activée par défaut. (à partir d’OpenBSD 7.6)
  • Si de nombreux utilisateurs se connectent derrière un bloc NAT ou un proxy, du trafic légitime peut être bloqué.
  • Il est nécessaire d’ajuster dans sshd_config(5) les options PerSourcePenalties, PerSourcePenaltyExemptList et PerSourceNetBlockSize afin de les adapter à l’environnement.

L’avis de GN⁺

  • Renforcement de la sécurité : cette fonctionnalité peut renforcer la sécurité en bloquant efficacement les tentatives d’accès anormales.
  • Simplicité d’administration : une option permet d’exclure certains clients des sanctions, ce qui facilite l’administration.
  • Attention aux environnements NAT : si de nombreux utilisateurs partagent la même IP dans un environnement NAT, des utilisateurs légitimes peuvent être bloqués, ce qui exige de la vigilance.
  • Activation par défaut : une activation par défaut peut entraîner des blocages inattendus ; les administrateurs doivent donc vérifier la configuration à l’avance.
  • Fonctionnalités similaires dans le secteur : d’autres logiciels de serveur SSH proposent aussi des fonctions de sécurité similaires ; une comparaison peut être utile selon les besoins.

À lire aussi

1 commentaires

 
GN⁺ 2024-06-08
Avis Hacker News
  • Expérience d’écriture de serveurs SSH : avec IPv4, l’usage du CGN augmente le risque que des utilisateurs innocents soient pénalisés. Avec IPv6, il est facile d’obtenir une nouvelle IP, ce qui réduit l’efficacité de cette méthode de protection. La plupart des attaques sont de simples attaques par dictionnaire, et l’usage de clés SSH est recommandé.
  • Avertissement sur l’usage de mots de passe SSH : utiliser un mot de passe pour SSH exposé à Internet est très risqué. Les clés sont plus pratiques et plus sûres.
  • Complexité de la configuration : le système de pénalités semble complexe et les valeurs par défaut ne sont pas documentées. Il faut lire le code source, mais l’idée d’installer un client CVS rebute.
  • Usage de solutions existantes : certains utilisent déjà fail2ban et ne souhaitent pas ajouter davantage de code dans sshd.
  • Avantages d’une fonction intégrée : certains ont utilisé MaxAuthTries et fail2ban, et estiment qu’une fonction intégrée apporte des améliorations.
  • Critique de la fonctionnalité : comme il est facile d’obtenir une nouvelle IP, cela pourrait être inefficace. Le débogage pourrait devenir plus difficile et cela pourrait poser problème dans beaucoup d’entreprises.
  • Problème des attaques par botnet : cela pourrait être inefficace face à des attaques menées via des botnets.
  • Doute sur la nécessité de la fonctionnalité : cela peut créer des désagréments pour ceux qui utilisent déjà des solutions existantes. Une automatisation par script plus souple est nécessaire.
  • Critique de l’approche de sécurité : fail2ban et la nouvelle fonctionnalité de sshd relèvent d’une approche de sécurité peu rigoureuse. Il est recommandé de n’autoriser les connexions que depuis des réseaux de confiance.
  • Question sur la compatibilité OpenBSD : beaucoup ignorent si fail2ban a été porté sur OpenBSD.