-
PerSourcePenalties와 PerSourcePenaltyExemptList라는 새로운 옵션이 sshd(8)에 도입
- PerSourcePenalties: 비정상적인 클라이언트 행동을 감지하고 제재를 가하는 기능
- PerSourcePenaltyExemptList: 특정 클라이언트 주소를 제재에서 제외할 수 있는 기능
비정상적인 행동 감지 및 제재
- sshd(8)는 클라이언트가 인증에 반복적으로 실패하거나 sshd를 충돌시키는 등의 비정상적인 행동을 감지함.
- 이러한 행동이 감지되면 클라이언트 주소에 일정 시간 동안 접속을 거부하는 제재를 가함.
- 반복적인 위반 시 제재 시간이 증가함.
기본 설정 및 주의사항
-
PerSourcePenalties는 기본적으로 비활성화되어 있으나, 곧 기본 활성화될 예정임. (OpenBSD 7.6 부터)
- NAT 블록이나 프록시 뒤에서 많은 사용자가 접속하는 경우, 합법적인 트래픽이 차단될 수 있음.
- sshd_config(5)에서 PerSourcePenalties, PerSourcePenaltyExemptList, PerSourceNetBlockSize 옵션을 조정하여 환경에 맞게 설정할 필요가 있음.
GN⁺의 의견
-
보안 강화: 이 기능은 비정상적인 접근 시도를 효과적으로 차단하여 보안을 강화할 수 있음.
-
관리의 편리성: 특정 클라이언트를 제재에서 제외할 수 있는 옵션이 있어 관리가 용이함.
-
NAT 환경 주의: NAT 환경에서 많은 사용자가 동일한 IP를 사용할 경우, 합법적인 사용자가 차단될 수 있어 주의가 필요함.
-
기본 활성화: 기본 활성화 시 예상치 못한 차단이 발생할 수 있으므로, 관리자들은 미리 설정을 검토해야 함.
-
업계 유사 기능: 다른 SSH 서버 소프트웨어에서도 유사한 보안 기능을 제공하므로, 필요에 따라 비교 검토가 필요함.