OpenSSH ने असामान्य व्यवहार पर रोक लगाने वाले विकल्प जोड़े

 (undeadly.org)
1 पॉइंट द्वारा GN⁺ 2024-06-08 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • PerSourcePenalties और PerSourcePenaltyExemptList नाम के नए विकल्प sshd(8) में जोड़े गए हैं
    • PerSourcePenalties: असामान्य client व्यवहार का पता लगाकर उस पर दंड लागू करने की सुविधा
    • PerSourcePenaltyExemptList: कुछ client addresses को दंड से बाहर रखने की सुविधा

असामान्य व्यवहार का पता लगाना और दंड

  • sshd(8) उन असामान्य व्यवहारों का पता लगाता है, जैसे client का authentication में बार-बार असफल होना या sshd को crash कर देना।
  • ऐसा व्यवहार पाए जाने पर client address पर एक निश्चित अवधि के लिए connection अस्वीकार करने का दंड लगाया जाता है।
  • बार-बार उल्लंघन होने पर दंड की अवधि बढ़ती जाती है।

डिफ़ॉल्ट सेटिंग और सावधानियां

  • PerSourcePenalties डिफ़ॉल्ट रूप से निष्क्रिय है, लेकिन जल्द ही यह डिफ़ॉल्ट रूप से सक्रिय होने वाला है। (OpenBSD 7.6 से)
  • अगर बहुत से उपयोगकर्ता NAT block या proxy के पीछे से connect करते हैं, तो वैध traffic भी block हो सकता है।
  • अपने environment के अनुसार सेट करने के लिए sshd_config(5) में PerSourcePenalties, PerSourcePenaltyExemptList, PerSourceNetBlockSize विकल्पों को समायोजित करने की जरूरत है।

GN⁺ की राय

  • सुरक्षा मज़बूती: यह सुविधा असामान्य access attempts को प्रभावी ढंग से block करके सुरक्षा को मज़बूत कर सकती है।
  • प्रबंधन में सुविधा: कुछ clients को दंड से बाहर रखने का विकल्प होने से प्रबंधन आसान हो जाता है।
  • NAT environment में सावधानी: NAT environment में अगर बहुत से उपयोगकर्ता एक ही IP इस्तेमाल करते हैं, तो वैध उपयोगकर्ता block हो सकते हैं, इसलिए सावधानी जरूरी है।
  • डिफ़ॉल्ट सक्रियता: डिफ़ॉल्ट रूप से सक्रिय होने पर अनपेक्षित block हो सकते हैं, इसलिए administrators को पहले से settings की समीक्षा कर लेनी चाहिए।
  • उद्योग में समान सुविधाएं: दूसरे SSH server software भी ऐसी ही security सुविधाएं देते हैं, इसलिए जरूरत के अनुसार तुलना करके देखना उचित है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-08
Hacker News राय
  • SSH सर्वर लिखने का अनुभव: IPv4 में CGN के उपयोग की वजह से निर्दोष यूज़र्स प्रभावित हो सकते हैं। IPv6 में नया IP पाना आसान है, इसलिए यह सुरक्षा तरीका प्रभावी नहीं हो सकता। ज़्यादातर हमले साधारण dictionary attack होते हैं, और SSH keys के उपयोग की सिफारिश की गई।
  • SSH पासवर्ड उपयोग चेतावनी: इंटरनेट पर एक्सपोज़्ड SSH में पासवर्ड इस्तेमाल करना बहुत जोखिमभरा है। keys का उपयोग ज़्यादा सुविधाजनक और सुरक्षित है।
  • सेटिंग की जटिलता: penalty system जटिल दिखता है, और default values दस्तावेज़ में नहीं हैं। source code पढ़ना पड़ता है, लेकिन CVS client इंस्टॉल करने की इच्छा नहीं है।
  • मौजूदा समाधान का उपयोग: पहले से fail2ban उपयोग कर रहे हैं और sshd में और ज़्यादा code जोड़ना नहीं चाहते।
  • बिल्ट-इन फीचर के फायदे: MaxAuthTries और fail2ban का उपयोग किया है, और बिल्ट-इन फीचर में कुछ सुधार दिखते हैं।
  • फीचर की आलोचना: नया IP पाना आसान होने से यह प्रभावी नहीं हो सकता। debugging मुश्किल हो सकती है, और कई कंपनियों में समस्याएँ पैदा हो सकती हैं।
  • botnet हमले की समस्या: botnet का उपयोग करने वाले हमलों पर यह प्रभावी नहीं हो सकता।
  • फीचर की ज़रूरत पर सवाल: जो लोग पहले से मौजूदा समाधान उपयोग कर रहे हैं, उनके लिए यह असुविधा पैदा कर सकता है। flexible scripting की ज़रूरत है।
  • सुरक्षा दृष्टिकोण की आलोचना: fail2ban और sshd का नया फीचर, दोनों ही असिद्धांतवादी सुरक्षा दृष्टिकोण हैं। केवल trusted network से ही login की अनुमति देने की सिफारिश की गई।
  • OpenBSD संगतता पर सवाल: बहुत से लोगों को नहीं पता कि fail2ban को OpenBSD पर port किया गया है या नहीं।