The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость, позволяющая обойти защиту от BruteForce-атак в OpenSSH

20.07.2015 18:49

В OpenSSH выявлена недоработка, дающая возможность отключить систему ограничения интенсивности запросов на аутентификацию, мешающую эффективному проведению атак по словарному подбору паролей.

Метод основан на определении большого числа интерактивных устройств (KbdInteractiveDevices), симулируя подключение тысяч клавиатур. Установка таких устройств снимает применяемый по умолчанию лимит на шесть попыток входа в рамках одного соединения, вместо которого остаётся двухминутный таймаут на успешный вход в систему. За две минуты атакующий может перебрать тысячи словарных комбинаций, что существенно повышает эффективность словарного перебора.

Метод работает только при активном в конфигурации методе интерактивной аутентификации (KbdInteractiveAuthentication). По умолчанию включение режима интерактивной аутентификации зависит от настройки ChallengeResponseAuthentication. Из систем, в которых данный режим включен по умолчанию отмечается FreeBSD.

  1. Главная ссылка к новости (https://kingcope.wordpress.com...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42634-ssh
Ключевые слова: ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Котан (?), 19:04, 20/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ждём специалистов по FreeBSD с их видением ситуации.
     
     
  • 2.9, bOOster (ok), 04:43, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –7 +/
    sshit
    А в целом kerberos юзайте.
     
  • 2.10, Аноним (-), 07:16, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    специалисты FreeBSD используют одноразовые пароли которые можно только случайно угадать, а линуксоиды ретрограды используют постоянные пароли - которые можно подобрать.

    Вот и все.

     
     
  • 3.11, A.Stahl (ok), 08:32, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >специалисты FreeBSD используют одноразовые пароли

    Ну да. В виртуалочке из-под уютненькой виндочки запускают БСДешечку, ужасаются и сносят это всё к чёртовой бабушке. Одного раза обычно достаточно. Потому и пароль одноразовый.

     
     
  • 4.16, bOOster (ok), 12:02, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень заметно что ты этот путь уже прошел :))))
     
     
  • 5.21, Аноним (-), 13:59, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Теперь хотя бы понятна его патологическая пена изо рта при слове бсд. Он - неосилилятор.
     
     
  • 6.22, bOOster (ok), 14:26, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Думаешь теперь это ярко выраженный комплекс неполноценности? :)
     
     
  • 7.26, Аноним (-), 15:23, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не проецируйте.
     
  • 3.13, AlexYeCu_not_logged (?), 09:45, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пароли? Для ssh? Что смотрит в интернет? Ок.
     
     
  • 4.19, Аноним (-), 13:48, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот за это вас бсдшников и ненавидят!! Вы постоянно унижаете!!
     
     
  • 5.28, Аноним (-), 15:24, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О да, унижают... тех, у кого ЧСВ зашкаливает. То есть большинство неадекватов.
     
  • 4.20, Аноним (-), 13:51, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Им бесполезно что-либо говорить, они даже не в курсе, что во FreeBSD доступно несколько ssh.
     
  • 4.34, angra (ok), 23:17, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А что собственно вас в этом смущает? Или у вас логин root и словарный пароль?
     
     
  • 5.39, Аноним (-), 09:23, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    были некоторые добрые люди в новоросийске на узле связи .. они включили telnet, создали еще одного юзера с uid = 0, и задали ему паролем словарное слово :)

    после этого можно уже не удивляться :)

     
     
  • 6.42, count0krsk (ok), 20:07, 18/08/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся менять уид своему юзеру, чтобы судо не вводить 20 раз в день.
     
     
  • 7.44, scorry (ok), 18:23, 23/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся
    > менять уид своему юзеру, чтобы судо не вводить 20 раз в
    > день.

    Расскажи нам, малыш, какая у тебя система, которая даёт тебе автоматическое преимущество перед убонтоводами.

     
  • 2.17, Аноним (-), 12:29, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наверняка об этом и говорил Тео.

     

  • 1.2, ups (??), 19:21, 20/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не вижу ситуации
     
  • 1.3, хрюкотающий зелюк (?), 19:42, 20/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?
     
     
  • 2.12, Sw00p aka Jerom (?), 09:35, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зато permit root login по дефолту
     
     
  • 3.27, Аноним (-), 15:24, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто это что-то плохое.
     
     
  • 4.30, Sw00p aka Jerom (?), 18:04, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну в принципе уже известен логин, в случае запрещения рута - то нуно ещё додуматься какой может быть логин
     
     
  • 5.31, tipa_admin (?), 20:15, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ну в принципе уже известен логин, в случае запрещения рута - то
    > нуно ещё додуматься какой может быть логин

    А что мешает сделать ещё одного юзера с uid 0? А root-у и вовсе запретить заходить. И не только на sshd.

     
     
  • 6.43, count0krsk (ok), 20:09, 18/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> ну в принципе уже известен логин, в случае запрещения рута - то
    >> нуно ещё додуматься какой может быть логин
    > А что мешает сделать ещё одного юзера с uid 0? А root-у
    > и вовсе запретить заходить. И не только на sshd.

    А не проще в ssh логиниться по ключу с отключенным рутом, а потом ручками вводить sudo bash и вперед, настраивть/ломать ;-)

     
  • 3.32, Аноним (-), 21:09, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Там так-то рут отключен по дефолту. (или просто не имеет пароля?) Но в любом случае, по ssh под рутом не зайти.
     
  • 2.41, Красн0глазик (?), 13:53, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?

    В Debian ChallengeResponseAuthentication выключен.

     

  • 1.5, Параш (?), 20:00, 20/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Double EPIC!

    sshd_flags="-oUseDNS=no -oProtocol=2 -oPasswordAuthentication=no -oPermitEmptyPasswords=no -oChallengeResponseAuthentication=no -oBanner=none"

    Не даем авторизацию по паролю, только по ключу заходите, SSH-v2.0.

     
  • 1.6, Аноним (-), 22:38, 20/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    А ещё несловарный пароль мешает эффективному проведению атак по словарному подбору паролей.
     
     
  • 2.18, Аноним (-), 13:14, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы говорите очевидные вещи, не всем доступные для понимания.
     

  • 1.7, yz (?), 22:42, 20/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Для чего вообще эта опция нужна?
     
     
  • 2.8, Аноним (-), 23:00, 20/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для поддержки OTP-токенов вроде бы.
     

  • 1.23, Аноним (-), 15:17, 21/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Говорят, чтение доков и мануалов экономит уйму нервов и времени. Врут наверное :)

    https://www.freebsd.org/doc/handbook/openssh.html
    > 14.8.1.1. Key-based Authentication
    > Instead of using passwords, a client can be configured to connect to the remote machine using keys.
    > ...
    > It is recommended to protect the keys with a memorable, but hard to guess passphrase.
    > ...
    > Warning:
    > Many users believe that keys are secure by design and will use a key without a passphrase. This is
    > dangerous behavior.

     
  • 1.24, Аноним (-), 15:18, 21/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну и? bruteblock или аналогичные средства - и хоть заподбирайся с тысяч-тысяч-тысяч клавиатур - IP заблокируется и всё.
    Плюс запрет на вход root по SSH по дефолту.

    Без этого только неадекватные админы выставляют SSH на 22 порту в инет. Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для логов :)

    Желающие добавляют нестандартные логины, SSH-ключи по вкусу.
    Вот как то так.

     
     
  • 2.33, Аноним (-), 21:13, 21/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    recent в iptables же. + можно на всяких микротиках юзать, где спецсофта нет.

     
  • 2.37, Адекват (ok), 11:43, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Без этого только неадекватные админы выставляют SSH на 22 порту в инет.
    > Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для
    > логов :)

    Да, это боль выяснять что Journalctl тормозит потому, что из 2Gb 90% логов забито сообщениями от sshd с 22 порта.


     
  • 2.40, scorry (ok), 20:12, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Без этого только неадекватные админы выставляют SSH на 22 порту в инет.
    > Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для
    > логов :)

    Автор не сравнивал логи SSH на стандартном и нестандартном порту?
    Автор не анализировал логи на предмет того, через сколько минут приходят первые китайские боты на свежеоткрытый айпи?

    А длинный пароль полезен, да. Как и fail2ban. Как ключи тоже, конечно.

     

  • 1.25, Аноним (-), 15:23, 21/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оу, а у него до сих пор нет опции KbdInteractiveLogonDelay ?????????
     
  • 1.29, Michael Shigorin (ok), 16:57, 21/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # fgrep ChallengeResponseAuthentication /etc/openssh/sshd_config | head -1
    #ChallengeResponseAuthentication no
    # rpm -q openssh-server
    openssh-server-6.7p1-alt1

    PS: к вышеупомянутым прибавлю sshutout.

     
     
  • 2.35, Ne01eX (ok), 00:15, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На Слаке тоже не работает. =)
     

  • 1.38, Адекват (ok), 11:45, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    По мне так это новость звучит так:
    Наша улитка поставила цель проползти 100 метров, раньше она проползала 1см, но теперь, благодаря новой пневмоподвеске она способна проползать расстояние в 10 раз больше, чем раньше !!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру