В OpenSSH выявлена (https://kingcope.wordpress.com/2015/07/16/openssh-keyboard-i.../) недоработка, дающая возможность отключить систему ограничения интенсивности запросов на аутентификацию, мешающую эффективному проведению атак по словарному подбору паролей.

Метод основан на определении большого числа интерактивных устройств (KbdInteractiveDevices), симулируя подключение тысяч клавиатур. Установка таких устройств снимает применяемый по умолчанию лимит на шесть попыток входа в рамках одного соединения, вместо которого остаётся двухминутный таймаут на успешный вход в систему. За две минуты атакующий может перебрать  тысячи словарных комбинаций, что существенно повышает эффективность словарного перебора.

Метод работает только при активном в конфигурации методе интерактивной аутентификации (KbdInteractiveAuthentication). По умолчанию включение режима интерактивной аутентификации зависит от настройки ChallengeResponseAuthentication. Из систем, в которых данный режим включен по умолчанию отмечается FreeBSD.

URL: https://kingcope.wordpress.com/2015/07/16/openssh-keyboard-i.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42634

• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Котан, 19:04 , 20-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,bOOster, 04:43 , 21-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 07:16 , 21-Июл-15
    • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,A.Stahl, 08:32 , 21-Июл-15
      • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,bOOster, 12:02 , 21-Июл-15
        • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 13:59 , 21-Июл-15
          • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,bOOster, 14:26 , 21-Июл-15
            • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 15:23 , 21-Июл-15
    • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,AlexYeCu_not_logged, 09:45 , 21-Июл-15
      • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 13:48 , 21-Июл-15
        • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 15:24 , 21-Июл-15
      • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 13:51 , 21-Июл-15
      • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,angra, 23:17 , 21-Июл-15
        • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 09:23 , 23-Июл-15
          • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,count0krsk, 20:07 , 18-Авг-15
            • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,scorry, 18:23 , 23-Авг-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 12:29 , 21-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,ups, 19:21 , 20-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,хрюкотающий зелюк, 19:42 , 20-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Sw00p aka Jerom, 09:35 , 21-Июл-15
    • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 15:24 , 21-Июл-15
      • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Sw00p aka Jerom, 18:04 , 21-Июл-15
        • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,tipa_admin, 20:15 , 21-Июл-15
          • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,count0krsk, 20:09 , 18-Авг-15
    • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 21:09 , 21-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Красн0глазик, 13:53 , 26-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Параш, 20:00 , 20-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 22:38 , 20-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 13:14 , 21-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,yz, 22:42 , 20-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 23:00 , 20-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 15:17 , 21-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 15:18 , 21-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 21:13 , 21-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Адекват, 11:43 , 22-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,scorry, 20:12 , 23-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Аноним, 15:23 , 21-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Michael Shigorin, 16:57 , 21-Июл-15
  • Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Ne01eX, 00:15 , 22-Июл-15
• Уязвимость, позволяющая обойти защиту от BruteForce-атак в O...,Адекват, 11:45 , 22-Июл-15

Ждём специалистов по FreeBSD с их видением ситуации.

sshit
А в целом kerberos юзайте.

специалисты FreeBSD используют одноразовые пароли которые можно только случайно угадать, а линуксоиды ретрограды используют постоянные пароли - которые можно подобрать.

Вот и все.

>специалисты FreeBSD используют одноразовые пароли

Ну да. В виртуалочке из-под уютненькой виндочки запускают БСДешечку, ужасаются и сносят это всё к чёртовой бабушке. Одного раза обычно достаточно. Потому и пароль одноразовый.

Очень заметно что ты этот путь уже прошел :))))

Теперь хотя бы понятна его патологическая пена изо рта при слове бсд. Он - неосилилятор.

Думаешь теперь это ярко выраженный комплекс неполноценности? :)

Не проецируйте.

Пароли? Для ssh? Что смотрит в интернет? Ок.

Вот за это вас бсдшников и ненавидят!! Вы постоянно унижаете!!

О да, унижают... тех, у кого ЧСВ зашкаливает. То есть большинство неадекватов.

Им бесполезно что-либо говорить, они даже не в курсе, что во FreeBSD доступно несколько ssh.

А что собственно вас в этом смущает? Или у вас логин root и словарный пароль?

были некоторые добрые люди в новоросийске на узле связи .. они включили telnet, создали еще одного юзера с uid = 0, и задали ему паролем словарное слово :)

после этого можно уже не удивляться :)

Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся менять уид своему юзеру, чтобы судо не вводить 20 раз в день.

> Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся
> менять уид своему юзеру, чтобы судо не вводить 20 раз в
> день.

Расскажи нам, малыш, какая у тебя система, которая даёт тебе автоматическое преимущество перед убонтоводами.

Наверняка об этом и говорил Тео.

Не вижу ситуации

Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?

Зато permit root login по дефолту

Как будто это что-то плохое.

ну в принципе уже известен логин, в случае запрещения рута - то нуно ещё додуматься какой может быть логин

> ну в принципе уже известен логин, в случае запрещения рута - то
> нуно ещё додуматься какой может быть логин

А что мешает сделать ещё одного юзера с uid 0? А root-у и вовсе запретить заходить. И не только на sshd.

>> ну в принципе уже известен логин, в случае запрещения рута - то
>> нуно ещё додуматься какой может быть логин
> А что мешает сделать ещё одного юзера с uid 0? А root-у
> и вовсе запретить заходить. И не только на sshd.

А не проще в ssh логиниться по ключу с отключенным рутом, а потом ручками вводить sudo bash и вперед, настраивть/ломать ;-)

Там так-то рут отключен по дефолту. (или просто не имеет пароля?) Но в любом случае, по ssh под рутом не зайти.

> Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?

В Debian ChallengeResponseAuthentication выключен.

Double EPIC!

sshd_flags="-oUseDNS=no -oProtocol=2 -oPasswordAuthentication=no -oPermitEmptyPasswords=no -oChallengeResponseAuthentication=no -oBanner=none"

Не даем авторизацию по паролю, только по ключу заходите, SSH-v2.0.

А ещё несловарный пароль мешает эффективному проведению атак по словарному подбору паролей.

Вы говорите очевидные вещи, не всем доступные для понимания.

Для чего вообще эта опция нужна?

Для поддержки OTP-токенов вроде бы.

Говорят, чтение доков и мануалов экономит уйму нервов и времени. Врут наверное :)

https://www.freebsd.org/doc/handbook/openssh.html
> 14.8.1.1. Key-based Authentication
> Instead of using passwords, a client can be configured to connect to the remote machine using keys.
> ...
> It is recommended to protect the keys with a memorable, but hard to guess passphrase.
> ...
> Warning:
> Many users believe that keys are secure by design and will use a key without a passphrase. This is
> dangerous behavior.

Ну и? bruteblock или аналогичные средства - и хоть заподбирайся с тысяч-тысяч-тысяч клавиатур - IP заблокируется и всё.
Плюс запрет на вход root по SSH по дефолту.

Без этого только неадекватные админы выставляют SSH на 22 порту в инет. Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для логов :)

Желающие добавляют нестандартные логины, SSH-ключи по вкусу.
Вот как то так.

recent в iptables же. + можно на всяких микротиках юзать, где спецсофта нет.

> Без этого только неадекватные админы выставляют SSH на 22 порту в инет.
> Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для
> логов :)

Да, это боль выяснять что Journalctl тормозит потому, что из 2Gb 90% логов забито сообщениями от sshd с 22 порта.

> Без этого только неадекватные админы выставляют SSH на 22 порту в инет.
> Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для
> логов :)

Автор не сравнивал логи SSH на стандартном и нестандартном порту?
Автор не анализировал логи на предмет того, через сколько минут приходят первые китайские боты на свежеоткрытый айпи?

А длинный пароль полезен, да. Как и fail2ban. Как ключи тоже, конечно.

Оу, а у него до сих пор нет опции KbdInteractiveLogonDelay ?????????

# fgrep ChallengeResponseAuthentication /etc/openssh/sshd_config | head -1
#ChallengeResponseAuthentication no
# rpm -q openssh-server
openssh-server-6.7p1-alt1

PS: к вышеупомянутым прибавлю sshutout.

На Слаке тоже не работает. =)

По мне так это новость звучит так:
Наша улитка поставила цель проползти 100 метров, раньше она проползала 1см, но теперь, благодаря новой пневмоподвеске она способна проползать расстояние в 10 раз больше, чем раньше !!!