OpenSSH、異常な挙動を制裁するオプションを導入

 (undeadly.org)
1 ポイント 投稿者 GN⁺ 2024-06-08 | 1件のコメント | WhatsAppで共有
  • PerSourcePenaltiesPerSourcePenaltyExemptList という新しいオプションが sshd(8) に導入
    • PerSourcePenalties: 異常なクライアントの挙動を検知し、制裁を加える機能
    • PerSourcePenaltyExemptList: 特定のクライアントアドレスを制裁対象から除外できる機能

異常な挙動の検知と制裁

  • sshd(8) は、クライアントが認証に繰り返し失敗したり、sshd をクラッシュさせたりするような異常な挙動を検知する。
  • このような挙動が検知されると、クライアントアドレスに対して一定時間接続を拒否する制裁を加える。
  • 違反が繰り返されると、制裁時間は増加する。

デフォルト設定と注意事項

  • PerSourcePenalties はデフォルトでは無効だが、まもなくデフォルトで有効化される予定。 (OpenBSD 7.6 から)
  • NAT ブロックやプロキシの背後から多数のユーザーが接続する場合、正当なトラフィックが遮断される可能性がある。
  • sshd_config(5) で PerSourcePenaltiesPerSourcePenaltyExemptListPerSourceNetBlockSize オプションを調整し、環境に合わせて設定する必要がある。

GN⁺の意見

  • セキュリティ強化: この機能は異常なアクセス試行を効果的に遮断し、セキュリティを強化できる。
  • 管理のしやすさ: 特定のクライアントを制裁対象から除外できるオプションがあり、管理しやすい。
  • NAT 環境での注意: NAT 環境で多数のユーザーが同じ IP を使う場合、正当なユーザーが遮断される可能性があるため注意が必要。
  • デフォルト有効化: デフォルトで有効化されると予期しない遮断が発生する可能性があるため、管理者は事前に設定を確認する必要がある。
  • 業界の類似機能: 他の SSH サーバーソフトウェアでも類似のセキュリティ機能を提供しているため、必要に応じて比較検討が必要。

関連記事

1件のコメント

 
GN⁺ 2024-06-08
Hacker Newsのコメント
  • SSHサーバーの運用経験: IPv4ではCGNの利用により無関係なユーザーが巻き添えになる可能性が高い。IPv6では新しいIPを取得するのが容易なため、防御策の効果が薄い。攻撃の大半は単純な辞書攻撃であり、SSHキーの利用が推奨される。
  • SSHパスワード使用への警告: インターネットに公開されたSSHでパスワードを使うのは非常に危険。キーのほうがより便利で安全。
  • 設定の複雑さ: ペナルティシステムは複雑に見え、デフォルト値も文書化されていない。ソースコードを読む必要があるが、CVSクライアントをインストールするのは気が進まない。
  • 既存ソリューションの利用: すでにfail2banを使っており、sshdにこれ以上コードを追加してほしくない。
  • 組み込み機能の利点: MaxAuthTriesとfail2banを使ってきたが、組み込み機能には改善点がある。
  • 機能への批判: 新しいIPを取得するのが簡単なため、効果がない可能性がある。デバッグが難しくなり、多くの企業で問題を引き起こすかもしれない。
  • ボットネット攻撃の問題: ボットネットを使う攻撃には効果がない可能性がある。
  • 機能の必要性への疑問: 既存のソリューションを使っている人に不便をもたらす可能性がある。柔軟なスクリプティングが必要。
  • セキュリティアプローチへの批判: fail2banやsshdの新機能は原則に反するセキュリティアプローチだ。信頼できるネットワークからのみログインを許可することが推奨される。
  • OpenBSD互換性への疑問: fail2banがOpenBSDに移植されているかどうかを知らない人が多い。