Есть только один способ: отключить от сети, электроэнегии, закопать в подвале, залить бетоном.

PS: по ссылке карго-культ и вредные советы кул-хацкера

Это всё понятно, что не 100%, меня интересует хоть что-то полезное. Типа правила для iptables, которое обламывает перебор пароля для ssh (это я и сам сделал).

How I Learned to Stop Worrying and Love SSH bots (оно конечно страшное, как моя жизнь, но лучшего под линь к сожалению нет)

А правила простые: disable everything, enable only what you really need.

Режим киоска?

да, типа того.

How I Learned to Stop Worrying and Love SSH bots
/var/log/apache/error_log

Компьютер - клиент, там нет апача.

Что на клиенте используется? Какой софт, службы? Например, используется ли браузер, почта, скайп?

При чём тут индеец? fail2ban на шо угодно натравить можно. И ssh боты — это его клиенты. Хотя, по поводу ssh ботов, я лично, волнуюсь меньше всего. Стучатся? Ну и пусть себе стучатся. Мне байтов не жалко.

Есть только один способ: отключить от сети, электроэнегии, закопать в подвале, залить бетоном.....

.....и все равно взломают.
вы не дописали.

киоск

, я, за.

Что на клиенте используется? Какой софт, службы? Например, используется ли браузер, почта, скайп?

Браузер есть, ssh есть. Почты и скайпа, как и других интернет-ориентированных клиентских программ нет. Предположим, что злоумышленник получил рут шелл. Что мы можем нафантазировать в качестве палок в колёс? 1) Поставить систему на squashfs - злоумышленник не сможет менять upstart и системные скрипты 2) Запретить ремаунтить то что уже смаунчено - нельзя перемаунтить noexec маунты чтобы запихнуть туда руткит (Запретить remount) 3) ...?

Предположим, что злоумышленник получил рут шелл.

Game over. Не поможет даже всякий secure boot и аппаратный readonly: получен рут один раз, будет получен и ещё раз (после ребута и т. п.).

Браузер есть -> эксплоит приложения (даже если это не будет цепочка эксплоитов с целью получения рута) даёт доступ к данным пользователя, если у пользователя есть важные данные, то их можно считать слитыми/скомпрометированными. А также саму станцию можно считать скомпрометированной, она вполне может примкнуть к ботнетам (доступ к сети-то есть, наверное, раз браузер и ssh есть).

Гостевой аккаунт с урезанными правами, хомяк в tmpfs и noexec. Авторизация в SSH только по ключам. iptables запрещает всё кроме нужного. В загрузчике поотрубать все опции, что дают возможность менять параметры загрузки. Регулярные обновления безопасности. Ежедневный (или чаще) релогин пользователя с чисткой хомяка.

Вероятность того, что получат рут шелл стремится к нулю, ибо локальные рут-эксплойты в Linux вещь редкая и ты с вероятностью 99% неуловимый Джо, поэтому для тебя никто не будет так заморачиваться.

How I Learned to Stop Worrying and Love SSH bots

Love

Да, порой заглядываешь в логи и с теплотой в душе понимаешь, что ты не один в мире. Особенно доставляет общаться с ними посредством изменения интервала бана и кол-ва попыток.

Клиент будет не сильно отличаться от сервера.

• SSH по ключу и прописать юзеров sshd_config {AllowUsers имярек}
• Бан настырных до SSH hashlimit
• noexec, acl, nodev и т.п. в fstab + readonly на /usr /sbin/ /bin, /boot не монтировать вообще.
• chattr на дотфайлы и маска на создание с правами.
• Если совсем грамотные, то можно chroot или ваще в контейнер закатать.

chattr на дотфайлы

ты имеешь ввиду запрет на изменение?

да.

Создать пользователя с ограниченными правами. И окружение, в котором невозможно выполнять ничего кроме той задачи, для которой оно нужно.