The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода

12.08.2024 08:20

В поставляемом в составе FreeBSD сервере OpenSSH выявлена уязвимость (CVE-2024-7589), позволяющая добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость является вариантом выявленной в начале июля проблемы в OpenSSH (CVE-2024-6387) и также вызвана состоянием гонки, возникающем из-за выполнения в обработчике сигналов функций, не рассчитанных на вызов в асинхронном режиме.

Разработчики FreeBSD устранили исходную июльскую уязвимость сразу после анонса, но исправление не охватывало всех возможных векторов атаки. Исправление сводилось к отключению вызова функции sshlogv, выделяющей память динамически, что при асинхронном выполнении могло привести к повреждению внутренних структур malloc при срабатывании обработчика сигнала SIGALRM во время выполнения определённого кода. Как оказалось, похожая проблема возникала в специфичном для FreeBSD вызове функции blacklist_notify, обеспечивающем интеграцию с фоновым процессом blacklistd.

Помимо применения патча, уязвимость можно блокировать через выставление в /etc/ssh/sshd_config параметра "LoginGraceTime=0", но при этом отключение таймаута упростит инициирование отказа в обслуживании при установке большого числа соединений, превышающих лимиты, заданные через параметр MaxStartups.

Кроме того, устранены ещё три уязвимости во FreeBSD:

  • CVE-2024-6760 - возможность обхода защиты от применения ktrace для трассировки suid-процессов, что позволяет непривилегированному пользователю получить доступ к содержимому файлов, для чтения которых у него нет прав, например, можно прочитать содержимое файла с хэшами паролей пользователей.
  • CVE-2024-6759 - в NFS-клиенте выявлена возможность использования в именах файлов символов разделения путей ".." и "/";
  • CVE-2024-6640 - уязвимость в пакетном фильтре PF, из-за которой пакеты ICMPv6 с нулевым идентификатором не подпадали под правила межсетевого экрана, рассчитанные на то, что входящие пакеты отражаются в таблице состояния (state table).


  1. Главная ссылка к новости (https://www.freebsd.org/securi...)
  2. OpenNews: Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc
  3. OpenNews: Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты
  4. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
  5. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным
  6. OpenNews: Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61690-openssh
Ключевые слова: openssh, freebsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (72) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:41, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Интересно, а в openbsd есть такие уязвимости или их не обнаружили из-за меньшей популярности системы?
     
     
  • 2.2, Аноним (2), 08:44, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вроде как либо open*, либо net* сказали, что точно нет.
     
     
  • 3.12, Аноним (12), 09:23, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вроде как у них своих версий уязвимостей полно.
     
     
  • 4.17, Аноним (17), 09:36, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вроде или точно? Огласите список, пожалуйста.
     
     
  • 5.32, Аноним (12), 10:53, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То что у них нет, а у остальных в том же продукте есть, уже о чём то говорит. А специфичные уязвимости у них не ищут потому опен никому не нужен.
     
  • 2.5, Аноним (5), 08:50, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Авторы openssh считают, что openssh можно использовать только под openbsd, о чём неоднократно заявляли. Как с таким подходом их поделкой кто-то вообще пользуется я не понимаю.
     
     
  • 3.8, Жироватт (ok), 08:54, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А я считаю, что Тео - жопошник, у которого пара проектов вышла за пределы попенбзд только на открытом безрыбье этих проектов. И музыкальный слух (песни к релизу) у него так же желает лучшего.

    > Авторы опенбзд считают

    А мунчилда с его браузером (бандленым пакетом либ) буквально за это же открыто травят.

     
     
  • 4.35, Аноним (35), 11:20, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А мунчилда с его браузером (бандленым пакетом либ) буквально за это же открыто травят.

    Нет. Его травят за то, что он ходит по гитхабу и угрожает судом, если его поделку кто-то неправильно пакует. Тео же просто плевать на то, кто и как использует его код.

     
     
  • 5.42, Аноним (42), 13:10, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Тео же просто плевать на то, кто и как использует его код.

    Ну, допустим не так уж и плевать. Как он жиденько исходил потоками злословия по поводу самовольного перелицензирования dual-licensed GPL+BSD кода в просто GPL — до сих пор периодически вспоминают, к месту и не к месту.

     
  • 5.50, Жироватт (ok), 15:10, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >  Его травят за то, что он ходит по гитхабу и угрожает судом, если его поделку кто-то неправильно пакует, а ЗАТЕМ обзывает палемуном и пихает в систему. Против запакованного как хочется мейнтенеру, но с другим брендингом - newmoon - он ничего не имеет против.

    +- то же самое.

     
  • 3.13, Аноним (13), 09:24, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Авторы openssh считают, что openssh можно использовать только под openbsd

    "Арендованную у меня газонокосилку можно использовать только на моем участке".

     
     
  • 4.15, Аноним (17), 09:32, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Некорректное сравнение. Openssh никто ни у кого не арендовал. Скорее это сосед взял на заметку способ стрижки газонокосилкой, но не учёл, что у соседа газон без булыжников в траве.
     
     
  • 5.20, Жироватт (ok), 10:01, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Соседушка, ты можешь бесплатно и легально взять мою Приору, но ты должен учитывать, что я её максимально занизил, от посонов респектос и тёлочи текут. На моих дорогах (от гаража до ворот) она ездит без проблем, я специально заморочился и сделал там топовый гоночный асфальт с уклоном в 0.000%.

    Думаю, это сравнение будет ещё более корректным.

     
  • 5.25, Аноним (-), 10:28, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Некорректное сравнение. Openssh никто ни у кого не арендовал. Скорее это
    > сосед взял на заметку способ стрижки газонокосилкой, но не учёл, что у соседа
    > газон без булыжников в траве.

    ...при том потому, что сосед лихо перекидал булыжники через забор :)

     
     
  • 6.45, Аноним (12), 14:00, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Специально обученные люди специально положили камни именно туда. И они начнут вылетать из под косилки в нужное время в нужное для этих людей время.
     
     
  • 7.67, Аноним (-), 20:35, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Специально обученные люди специально положили камни именно туда. И
    > они начнут вылетать из под косилки в нужное время в нужное для этих людей время.

    Ненене, Teo The Retard и его дружбанам было элементарно проще - швырять камни за ближайший забор, сэкономив усилия на всяких глупостях типа портабельности. То что сосед наедет косилкой на этот булыжник - не его проблема, типа. "Надо было косить на его участке, там камней нет!".

     
  • 3.38, Ivan_83 (ok), 12:21, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот только люди из OpenBSD не являются авторами OpenSSH, тк последний вырос из того что опубликовал Тату Ёлинен, изначальный автор SSH протокола и директор или кто он там ssh.com.
    В исходниках до сих пор видны хвосты того легаси кода от ssh.com.
     
     
  • 4.64, _ (??), 19:11, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да всё именно так, но ... who's care? Уже более 20 лет именно что все юзают именно что OpenSSH :) Се ля вий (С)
     
     
  • 5.69, Ivan_83 (ok), 21:12, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1. Авторы OpenSSH немного шире чем думает автор сообщения на которое я отвечал.
    2. Есть и другие реализации SSH протокола, в том числе и коммерческие от ssh.com.
     
  • 2.10, Аноним (1), 09:01, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты, блокирующий подобные классы атак.
     
     
  • 3.22, Аноним (22), 10:12, 12/08/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.27, нах. (?), 10:31, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты,
    > блокирующий подобные классы атак.

    сущность механизма: sshd вообще не запускается.

    (в принципе, конечно, на всякий случай еще надежнее - сеть совсем не подключать. В том числе электрическую.)

      

     
     
  • 4.28, Аноним (28), 10:39, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В OpenBSD sshd по умолчанию стартует.
     
     
  • 5.72, Аноним (-), 04:38, 13/08/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В OpenBSD sshd по умолчанию стартует.

    Но вот сам openbsd по умолчанию скорее не стартует ;). И в таком случае он абсолютно безопасен.

     
  • 5.77, крокодил мимо.. (-), 17:57, 14/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В OpenBSD sshd по умолчанию стартует.

    нет.. инсталлер спрашивает, есть ли желание/нужда стартовать с дефолтными настройками.. решение - за Пользователем..

     
  • 2.19, нах. (?), 09:53, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    таких - нету. Нет blacklistd - нет проблемы!

     
     
  • 3.26, Аноним (-), 10:30, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > таких - нету. Нет blacklistd - нет проблемы!

    Это вам за неполиткорректность. Называли бы blocklist, или stoplist, глядишь и не стали бы вулн искать! :)

     
     
  • 4.29, Аноним (29), 10:46, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Афроамериканский лист
     
  • 4.30, Аноним (29), 10:48, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А как тогда белый лист называть?
     
     
  • 5.36, Аноним (36), 11:22, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Alloy\deny list не звучит оскорбительно?
     
  • 5.48, Аноним (48), 14:32, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а "RedBook" или "YellowPages" никого еще не оскорбляют из снежинок?
     
  • 5.63, YetAnotherOnanym (ok), 18:47, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Caucasian" же!
     
  • 3.39, Ivan_83 (ok), 12:22, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы отстали от жизни, это уже втащили в сам OpenSSH, для ленивых даже статья на хубре вчера была.
     

  • 1.3, Аноним (-), 08:49, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Опять эти "собственные патчи" делают что то лишнее. Поэтому нужно довольствоваться подходом арча с максимально ванильными пакетами, без своих доработок по скрытию или дополнению функционала, пускай вся ответственность будет на апстриме. Привет дебиан.
     
     
  • 2.6, Аноним (6), 08:50, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все так.
     
  • 2.7, Аноним (5), 08:52, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Арч наворачивает вёдра патчей, ты откуда-то из 2006 года выплыл. Под камнем сидел?
     
     
  • 3.9, Жироватт (ok), 08:57, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И да, можно ссылочку на арчевские патчи?
    В ауре - да. В апстриме - только бакфиксы, которые потом идут напрямую в апстрим.
     
  • 2.16, ин номине патре (?), 09:35, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Поэтому нужно довольствоваться подходом арча с максимально ванильными пакетами

    Смешные выводы, насколько помню последние 20 лет, "внизапных дырок" меньше всего когда на сервере не самый свежий редхат стоит. И патчей там много, но практически всегда сделаны прямыми руками.

    А на десктопе конечно можешь и вприсядку и как угодно, пока ты неуловим как один парень по имени джо

     
     
  • 3.40, Аноним (28), 12:52, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > The below excepts are about an extra issue (beyond CVE-2024-6409) - the
    > audit patch's logging of SSH host key fingerprints apparently being
    > broken at least on RHEL 9.  This issue is only indirectly related to
    > CVE-2024-6409 because it explains why more async-signal-unsafe calls are
    > made than would have been otherwise.

    https://www.openwall.com/lists/oss-security/2024/07/08/2

     
  • 2.18, Аноним (18), 09:52, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Хороший способ, чтобы *уменьшить* количество патчей, предлагаемых в апстрим, потому что никто их не будет писать -- сломалось и сломалось, пусть не работает. Но хорошо ли это?
     
     
  • 3.23, Жироватт (ok), 10:15, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо путь патчи к ванилле (которые, обычно, и возвращаются в апстрим) и дебиано-/редхатоподобные дистроспецифичные патчи (которые работают только в конкретном окружении конкретного дистро и в апстрим редкоприменимы).
     
     
  • 4.41, Bottle (?), 13:04, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так правильно, надо мыслить на уровне системы, а не отдельных пакетов, иначе линукс на десктопе так и останется предметом анекдотов.
     
     
  • 5.49, Жироватт (ok), 15:07, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > If you know Slackware, you know Linux. If you know SUSE, all you know is SUSE.
     
     
  • 6.65, _ (??), 19:21, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уже нет :(
    1. В слаке нет системдЮ - значит всио - не линуск!
    Да-да я в курсе, что пока ещё есть упёртые ... но на сколько их хватит? Старых то дедов уже почти нет, а снежинкам - оно надо?
    2. сюЗя нынче _оффициально_ хочет стать спином красношляпы с перебитыми копирайтами, типа альмы и прочих (тут в новостях даже было). Ея вообще учить не надо - учите оригинал. :-\
     
  • 5.79, Аноним (79), 23:51, 14/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не предметом анекдотов, а уделом энтузиастов, и остаться таким - это лучшее, что может с ним случиться.
     
     
  • 6.87, Аноним (-), 19:01, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не предметом анекдотов, а уделом энтузиастов, и остаться таким - это лучшее,
    > что может с ним случиться.

    Т.е, если я правильно тебя понял, то производить полуфабрикаты слепленные из васяно-кода и палок - это "лучшее, что может с ним случиться"?
    Ну... не то что я сильно удивился, но все равно читать страшно.

     
  • 4.89, Лёха (?), 12:02, 09/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не надо путь патчи к ванилле
    те возвращаются в апстрим
    --
    : )
     

  • 1.11, Аноним (12), 09:23, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Опять кто добавил как он попал в проект. Где расследование. Или опять это чудовищная ошибка, товарищ пользователь?
     
     
  • 2.14, Аноним (-), 09:31, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно!
    Это же всего лишь библиотека шифрования связи, зачем ее писать хорошо?
    Ведь если один раз написать хорошо и без ошибок, то собирать денежки не получится!

    И вообще какие претензии,  в̶а̶с̶ ̶т̶у̶д̶а̶ ̶н̶и̶к̶т̶о̶ ̶н̶е̶ ̶п̶о̶с̶ы̶л̶а̶л̶ вас пользоваться никто не заставлял.
    Это у корпов мерзкая ЭУЛА и AS IS, а тут свободный опенсорс и великолепный AS IS!
    Разницу понимать нужно!

     
     
  • 3.31, Аноним (12), 10:51, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот-вот никто не говорит что это специально. Но расследовать надо. Дали ему подзатыльник или нет. Может его пора отстранить от разработки в силу скилов или выгорания.
     
  • 3.68, Аноним (68), 20:44, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Это у корпов мерзкая ЭУЛА и AS IS, а тут свободный опенсорс и великолепный AS IS!
    > Разницу понимать нужно!

    Ну дык, там еще бабок слупят, вулн заткнут без анонса и ченжлогов в половине случаев, зато маркетинговым буклетам позввидует даже минсказокнаночь РФ.

     

  • 1.24, Аноним (24), 10:26, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ох уж эти бэкдоры
     
     
  • 2.33, Аноним (33), 10:56, 12/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ваш код слишком красный, отсюда и проблемы
     

  • 1.34, Аноним (34), 11:08, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пакет OpenSSH в последнее время удивляет
     
  • 1.37, Соль земли (?), 11:39, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Use of non-reentrant functions, e.g., malloc or printf, inside signal handlers is also unsafe.

    https://en.wikipedia.org/wiki/Signal_(IPC)

     
  • 1.52, Аноним (52), 15:24, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Занятный метод исправления ошибок, через закомменчивание кода, мешающего скопилять. Где-то даже применялось это... В школе, что ли...
     
  • 1.60, Аноним (60), 17:10, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Опять сишники неправильные, состояние гонки допустили.
     
  • 1.61, riokor (?), 17:16, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну ошиблись люди, не досмотрели. Не будем их винить.
     
  • 1.70, Имя (?), 21:41, 12/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошо бы иметь вариант харденинга, когда вызов не-async‐signal‐safe функции в обработчике сигнала просто крашил бы процесс
     
     
  • 2.73, Аноним (73), 09:55, 13/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть вариант выдавать ршибку при компиляции. Но это уже не C.*...
     
     
  • 3.76, Аноним (76), 20:20, 13/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    легче при статанализе. Закинуть в PVS идейку, если это нереализуемо пользовательскими настройками.
     
  • 2.74, Big Robert TheTables (?), 17:45, 13/08/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В подавляющем большинстве случаев при вызове небезопасной функции в обработчике сигнала будет нормальная отработка этих функций, в малом проценте при невезении будет подвисание, как, например, при вызове маллок() для форматирования строки вывода обработчиком сигнала, что вызвался во время вызова маллок() основным кодом. Еще как бы можно добиться требуемого падения, но сценарий уже мутноват. RCE в описании исходной уязвимости только в названии, способа именно выполнить сторонний код не описано. Мне не нравится этот энтузиазм закрывать недоказанные уязвимости.
     

  • 1.71, Квасдопил (?), 01:12, 13/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    blacklistd ненужно

    вот это вот в /etc/src.conf:
    WITHOUT_BLACKLIST=yes
    WITHOUT_BLACKLIST_SUPPORT=yes

    ограничения на кол-во соединений в секунду в openssh также ненужно
    убивается всё на уровне PF с src-rate-limit и блокировкой на уровне IP
    ну и ssh не на 22 порту это знают даже дети

     
     
  • 2.78, Ivan_83 (ok), 20:05, 14/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это олдскул, года из 2009 когда я только начинал :)
    Да, блеклист фигня не нужна, она вообще походу из 90х и пользуется этим непонятно кто.

    А вот блокировка средствами PF - такое себе, ибо оно не знает что внутри.

    Вот кусок из современного конфига OpenSSH который сам всё умеет из коробки:
    # Brutforce limitation.
    LoginGraceTime 1m
    MaxAuthTries 3
    MaxStartups 65536
    PerSourceMaxStartups none
    PerSourceNetBlockSize 24:64
    PerSourcePenalties crash:10m authfail:30s noauth:5m grace-exceeded:5m max:60m min:10s max-sources4:65536 max-sources6:65536 overflow:deny-all overflow6:deny-all
    PerSourcePenaltyExemptList 10.0.0.0/8,100.64.0.0/10,169.254.0.0/16,172.16.0.0/12,192.0.2.0/24,192.168.0.0/16,198.18.0.0/15,198.51.100.0/24,203.0.113.0/24,fc00::/7,fe80::/10,2001:0002::/48,2001:0010::/28,2001:db8::/32


    И довеском оставить только RSA хостовый ключ и сгенерить его на 16384 бита, чтобы бот сети из всяких роутеров и лоампочек сами помирали на хэндшейке и не тревожили больше :)

     
     
  • 3.80, Дед (??), 00:17, 15/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В 90х не было blacklistd.
    Вроде были (или чуть позже) tcpd/hosts_access, которые "ненужно".
    Банили все так же на уровне IPFW в те времена, ибо на одноядерном 100Mhz 486-ом с 16Мб памяти ресурсы под user space процессы и сокеты заканчивались очень быстро.

    Зачем втаскивать функционал (и баги) firewall/blacklistd в openssh?

     
     
  • 4.82, Ivan_83 (ok), 04:57, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Затем что ему виднее что там произошло и на сколько за это банить.
    Плюс оно из коробки сразу, а не после приседаний с кучей костылей.
     
  • 3.81, Аноним (-), 06:30, 15/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И довеском оставить только RSA хостовый ключ и сгенерить его на 16384
    > бита, чтобы бот сети из всяких роутеров и лоампочек сами помирали
    > на хэндшейке и не тревожили больше :)

    ...и потом удивленно обнаружить что ботнет из дырявых VDSок устроил этой штуке полный апокалипсис, так что логин легитимного админа может вообще не пройти.

    Хотя на опеннете всегда посоветуют как отморозить назло бабушке уши максимально зрелищно.

     
     
  • 4.83, Ivan_83 (ok), 04:57, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так ботнет быстро попадёт в бан, там же выше конфиг показан.
     
     
  • 5.84, Аноним (-), 15:43, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так ботнет быстро попадёт в бан, там же выше конфиг показан.

    Нормальный ботнет распределенный и васян чекает по 1 паролю в час. Но если там пару сотен тысяч ботов - отлично, вот посмотрим как вам 50 таких RSA в секунду считается.

    Чертова куча ботнетов начинает в расчете на дурака сканить - диапазон хостера. И при появллении там хостов быстро просекает это дело - и порой надежды, таки, оправдываются. Так что ботов - прибавляется. В пересчете на IP и бота активность зачастую никакая. Ботнетчики же тоже не идиоты и под бан попадать как раз не хотят.

     
     
  • 6.85, Ivan_83 (ok), 16:01, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже целенаправленная атака по бруту, обычно случайные боты перебирают по немногу и быстро уходят.
    Всегда можно увеличить до 16/56 маски бана подсетей :)
    Или просто убрать с паблика, тк это не публичный сервис.
     
  • 3.86, BorichL (ok), 18:41, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    blacklistd отличная штука, ресурсов много не требует, но быстро отучает мамкиных хакеров от джолбёжки хоста. Ко мне как-то сотрудник подходит, типа, "а тут это не про тебя?" и показывает на каком-то форуме мамкиных хакеров результаты ползанья по сайту, висящему на домашней машине, ну там бла-бла-бла и после этого некоторое удивление школьника, что после его сканов хоста сайт типа перестал отзываться, это как раз отработал blacklistd. Надеюсь, не забросят и кто-нибудь поднимет упавшее знамя...
     
     
  • 4.88, Ivan_83 (ok), 19:31, 16/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сильно сложно :)
    Я просто сайт в chroot посадил и там большая часть RO, пущай ломают.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру