SSH Match User

Secara default, SSH dirancang untuk menanggapi semua permintaan koneksi yang masuk. Jika user tidak ditemukan, SSH tetap menjalankan fase autentikasi dengan cara meminta password sebelum akhirnya menolak akses karena user tidak ada. Hal ini bisa menjadi celah kecil yang dapat dieksploitasi dalam skenario brute-force attack, dan dapat menyebabkan connection flood pada network socket.

Untuk menghindarinya, kita bisa mengaktifkan fitur Match User dari OpenSSH.

Cari baris config berikut

PasswordAuthentication yes

Ubah menjadi no untuk global scope

Buat blok baru

Match User dagimal
PasswordAuthentication yes

Buat blok baru untuk Match User, hanya izinkan autentikasi password untuk user tertentu.

Pengujian

User tidak ditemukan pada sistem.

» Sebelum

» Sesudah

» Syslog