Усиление безопасности в OpenSSH

Введение: что случилось, почему важно Недавно выпущенная версия OpenSSH 9.7 привнесла ряд изменений, направленных на усиление безопасности. Одним из наиболее интересных изменений является возможность автоматического ограничения подозрительных IP-адресов без необходимости использования дополнительных инструментов, таких как Fail2Ban и iptables. Эта функция особенно привлекает внимание, поскольку она уже включена по умолчанию в Ubuntu 26.04, даже если в файле конфигурации sshd_config про нее ничего не указано.

Подробности

Новая функция реализована через механизм PerSourcePenalties, который позволяет sshd автоматически накапливать счетчик штрафов для каждого IP-адреса, с которого происходит попытка подключения. Если счетчик штрафов превышает определенный порог, SSH-сервер может ограничить доступ с этого IP-адреса на определенный период. Эта функция работает на основе анализа попыток подключения и не требует дополнительной настройки. Затронутые продукты - OpenSSH начиная с версии 9.7, а также операционная система Ubuntu 26.04.

Что делать

Чтобы воспользоваться этой функцией, необходимо убедиться, что версия OpenSSH обновлена до 9.7 или выше. Для пользователей Ubuntu 26.04 это уже сделано автоматически. Необходимо также проверить файл конфигурации sshd_config, чтобы увидеть, включена ли функция PerSourcePenalties по умолчанию. Если функция не включена, ее можно включить, изменив конфигурацию вручную. Однако, поскольку эта функция является еще одной мерой безопасности, рекомендуется оставить ее включенной, чтобы дополнить существующие меры безопасности, такие как использование сильных паролей, MFA и защищенных подключений через VPN и TLS. Итог: Функция PerSourcePenalties в OpenSSH 9.7 является значительным шагом в усиление безопасности SSH-соединений. Благодаря автоматическому ограничению подозрительных IP-адресов, администраторы могут еще больше укрепить защиту своих систем от потенциальных атак.

Источник: Хабр — Информационная безопасность