Eine kürzlich entdeckte Sicherheitslücke in OpenSSH macht es möglich innerhalb eines kurzen Zeitraums möglich mehrere tausend Passwortkombinationen durchzuprobieren (sonst 3-6), ehe die Verbindung wieder geschlossen wird. Damit ist das, vor allen auf Servern eingesetzte, SSH momentan besonders exponiert für Brute-Force Angriffe die das Ziel haben schwache Passphrasen auszunutzen. Dadurch wäre es möglich mittels Durchtesten von Wortkombinationen aus dem Wörterbuch viele Passwörter bereits innerhalb zwei Minuten zu knacken.
Betroffen ist insbesondere die Funktion „keyboard-interactive authentication“, welche in jeder Installation als Defaultwert aktiviert ist.
Problembehebung und Best-Practice für OpenSSH Sicherheit
Während die Open-Source Gemeinschaft dankenswerterweise schnell auf bekannte Sicherheitslücken reagiert ist es immer angeraten das System ohnehin zu härten um die Angriffsfläche zu minimieren. Bombensicher ist auch jetzt noch jener Serveradministrator der Folgendes beherzigte:
- Verwendung starker kryptographischer Schlüssel, derzeit mindestens 2048 Bits.
- Starkes Passwort, alphanumerisch, keine natürlichen Wörter
- Reduzierung der Login-Grace Periode auf einen geringeren Wert wie 30 Sekunden
- Einsatz von fail2ban um angreifende IP-Adressen nach mehreren Fehlversuchen zu sperren. Sperrfrist möglichst hoch, z.b. 12-24 Stunden.
- Den SSH Dienst bewusst auf einem anderen Port lauschen lassen. Die meisten Angreifer fragen nur den Standardport 22 ab und geben sofort auf wenn dort kein Dienst läuft.
- Authentifizierung mit Keyfiles nutzen anstelle einer Passworteingabe.
- Verwendung von Sudo und Deaktivierung der Root-Accounts für SSH, damit sich Angreifer keine Rootrechte erschleichen können.