Para mitigar tentativas maliciosas de acesso não autorizado, um novo recurso aumenta a segurança do OpenSSH.
O OpenSSH é o mais importante conjunto de utilitários de rede relacionado à segurança que provém a criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH.
O OpenSSH é uma implementação gratuita e de código aberto do protocolo SSH (Secure Shell) que fornece funcionalidade de cliente e servidor para comunicações seguras em uma rede.
O protocolo SSH é usado principalmente para acessar sistemas remotamente e para transferir arquivos com segurança entre sistemas, especialmente em ambientes de rede onde a segurança é uma preocupação primordial.
Agora, o OpenSSH, atualmente desenvolvido como parte do projeto OpenBSD, introduziu novas opções de configuração para seu daemon SSH (sshd), que prometem mitigar tentativas maliciosas de acesso não autorizado.
Novo recurso aumenta a segurança do OpenSSH
Sim. Um novo recurso aumenta a segurança do OpenSSH. A atualização, liderada pelo desenvolvedor Damien Miller, incorpora dois recursos principais: PerSourcePenalties e PerSourcePenaltyExemptList.
Essas adições foram projetadas para refinar a forma como o sshd lida com comportamentos suspeitos de clientes, garantindo ao mesmo tempo que usuários legítimos não sejam afetados indevidamente.
A nova opção PerSourcePenalties permite que o sshd monitore e responda a comportamentos anormais detectados durante o processo de autenticação SSH.
Quando esse recurso está habilitado, o sshd rastreia os status de saída de seus processos de sessão filho de pré-autenticação para identificar atividades potencialmente prejudiciais.
Exemplos de tais atividades incluem repetidas tentativas de login malsucedidas, que podem sugerir uma tentativa de adivinhar senhas, ou ações que causam falha no sshd, possivelmente indicando um esforço de exploração.
Neste sistema, se um cliente apresentar um comportamento que leve a um status de saída problemático, o sshd impõe uma penalidade temporária no endereço IP do cliente, bloqueando outras conexões deste endereço e de outras dentro do mesmo bloco de rede por um período especificado.
Este período de penalidade pode aumentar com infrações repetidas, até um limite máximo. É importante ressaltar que esse recurso foi projetado para adaptar sua resposta com base na gravidade e na frequência das ofensas, tornando-o uma ferramenta dinâmica contra ataques à rede.
Por outro lado, o PerSourcePenaltyExemptList permite que os administradores especifiquem endereços IP ou intervalos isentos dessas penalidades, garantindo que clientes confiáveis não enfrentem problemas de conexão devido a medidas de segurança rigorosas.
Isto é particularmente útil para endereços que podem frequentemente desencadear falsos positivos em ambientes mais sensíveis.
Miller expressou otimismo sobre os novos recursos, observando que eles “tornarão significativamente mais difícil para os invasores encontrar contas com senhas fracas ou adivinhadas ou explorar bugs no próprio sshd”.
Ele também indicou que, embora o recurso PerSourcePenalties esteja desativado por padrão, provavelmente será ativado automaticamente em atualizações futuras.
Muitos de vocês podem estar comparando o novo recurso à popular ferramenta Fail2Ban, e vocês estão certos; eles são bastante semelhantes funcionalmente. Mas estamos falando de uma implementação nativa dessa funcionalidade diretamente no sshd, o que é fantástico.
No entanto, é importante observar que isso não significa que o Fail2Ban não seja mais útil.
Ele possui muitos recursos extras, como gerenciar vários tipos de autenticação e tratar diferentes usuários de maneiras específicas, portanto, não se apresse em retirá-lo quando o novo recurso estiver disponível em sua implementação OpenSSH.
Para mais informações, visite o anúncio no OpenBSD Journal.
Como instalar ou atualizar o OpenSSH
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, no momento eles podem fazer isso baixando o código-fonte e fazendo a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições Linux. Mas possivelmente, em breve estará disponível.
Portanto, se você quer instalar a versão mais recente do OpenSSH nas principais distribuições Linux, faça o seguinte:
Passo 1. Abra um terminal com privilégios de administrador (root) ou abra um terminal como usuário comum e use o ‘sudo‘ antes dos comandos a seguir;
Passo 2. Baixe o código fonte do programa com esse comando;
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.7.tar.gz -O openssh.tar.gzPasso 3. Quando terminar o download, descompacte o arquivo baixado, usando esse comando;
tar -xvf openssh.tar.gzPasso 4. Acesse a pasta criada durante a descompactação;
cd openssh-*/Passo 5. Use o comando abaixo para prepara o código fonte para ser compilado;
./configure --prefix=/opt --sysconfdir=/etc/sshPasso 6. Em seguida, use esse comando para compilar o código fonte;
makePasso 7. Por fim, use o comando abaixo para instalar o programa no seu sistema.
make installPronto! O OpenSSH está instalado.
Se depois você precisar desinstalar, em um terminal (com privilégios de administrador ou seguido de ‘sudo‘), acesse novamente a pasta criada ao descompactar e use o comando abaixo;
make uninstall