Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04
j_larkin 15 минут назад Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04 Простой 6 мин 248 Операционные системы Системное администрирование * DevOps * Информационная безопасность * Обзор...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. j_larkin 15 минут назад Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26. 04 Простой 6 мин 248 Операционные системы Системное администрирование * DevOps * Информационная безопасность * Обзор Начиная с OpenSSH 9.
7, sshd умеет автоматически ограничивать на время подозрительные IP без Fail2Ban и iptables. 04 эта функция уже включена по умолчанию — даже если в sshd_config про неё ничего не написано. Предлагаю попробовать разобраться с тем, как это работает.
Технические детали
Disclaimer: статья написана без использования ИИ. Нейросеть использовалась только для стилистической редактуры. Ничего не рекламирую и в ТГ-чаты не зазываю.
Как вы знаете, в прошлом месяце вышла новая LTS-версия Ubuntu 26. 04 — Resolute Raccoon. Читая патчноуты (да, существует много людей, которые их читают), в пункте про OpenSSH я обнаружил вот такой интересный момент: новая директива PerSourcePenalties будет «наказывать» адреса клиентов, которые по какой-либо причине не завершают аутентификацию.
Вообще, функция далеко не новая. Разработчики OpenSSH добавили её ещё в 2024 году (рассылка) и включили по умолчанию в версии 9. 7, но эта версия не попала в Ubuntu 24.
Отраслевые последствия
Проверяем максимальную версию доступную для обновления в Ubuntu 24,04В Ubuntu 26. 04 «из коробки» поставляется OpenSSH версии 10. 2p1 от 27 января 2026.
Следовательно, по умолчанию теперь всё включено. Я раскатил себе официальный образ, полез смотреть конфиги, и… в них ничего нет! Получается, что функциональность есть и включена, но в конфиге нет ни одного слова про это.
И если вы не читали патчноуты, то даже не знаете что оно у вас есть. 04 проверить, что оно включено, можно командой: sshd -T | grep -i persourceПроверяем включено ли. Нас интересует строка: persourcepenalties crash:90 authfail:5 noauth:1 grace-exceeded:10 refuseconnection:10 max:600 min:15 max-sources4:65536 max-sources6:65536 overflow:permissive overflow6:permissiveПараметры новой директивыДавайте разберём каждый параметр по порядку.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
