Как изменить число попыток входа по SSH

/me зевая: ну от куда же вы лезете? Оставь ботов в покое и ложись спать. И не читай логи перед обедом. У неокрепших падаванов несварение случиться может.

fail2ban, например

Запрети логин по паролю, разреши по ключу.

Повесь ssh сервер на какой нибудь нестандартгый порт типа 40385 и все проблемы. И да, как уже указали выше, запрети доступ по паролю и оставь только по ключу.

Просто сделай это

https://habrahabr.ru/post/88461/

Появилась идея использовать iptables. Разрешить SSH доступ только с определенных подсетей (список у меня есть). Как это грамотно сделать, народ? У кого есть опыт?

Ты что, на 22 порту сидишь?

А что, MaxAuthTries и MaxSessions уже отменили?

Тут уже тебе fail2ban посоветовали, он как раз через iptables работает. Как раз то, что тебе надо. Для ssh работает из коробки, и можно настроить число попыток и время блокировки.

Разрешить SSH доступ только с определенных подсетей

Слово «подсеть» тут стремено звучит.
Вполне возможно они и ваши, и я ошибаюсь, но на фоне не знания как это сделать в iptables...

Ты что, на 22 порту сидишь?

От того что перелезете на 11122 спокойнее станет только в соответствии с вашем ником к которому добавить буковки.

Сомневаюсь, что боты долбятся на все порты подряд

Минус «пять» ботов, вам от этого легче станет? Боты нехорошее-слово умные, бд соберут и будут долбить.

использовать fail2ban, сменить порт для ssh

fail2ban и двухфакторная аутентификация.

Да, и если вы сомневаетесь в распространении БД для ботов, просто приведу пример: регулярно происходит подбор паролей на учётки почты вида фамилия(варианты)@domain.tld, тут важен момент «варианты» - именно таких(по написанию) ящиков не существовало никогда, ну ничего, продолжают ломиться с паролями из какой-то стандартной БД далеко не первый год.

ipset + iptables + bash, ну или ключ.

От меня и всех ниже:

файл sshd_config:
#
Port 61122
LoginGraceTime 30
MaxAuthTries 1
PermitRootLogin yes
StrictModes yes
#
файл jail.local:
#
[sshd]
enabled     = true
filter      = sshd
#action      = iptables-allports
action      = route
logpath     = /var/log/auth.log
maxretry    = 3
findtime  = 1800
bantime  = 43200
#
#

PermitRootLogin yes

Смело. Даже отважно. Не хватает: PermitEmptyPasswords yes

sshguard

Ох уж эти городские легенды про ужасы работы под рутом

Неверно. Помню пару лет назад был у меня сервер с белым ip и ssh сервером на 22 порту и парольным входом. Так вот было как у ТС-а, постоянно лезли какие-то черти с китайских ip. А как только перевесил на порт типа 40654, попытки прекратились. Ну и конечно, в эпоху развитой криптографии, лучше использовать ключи вместо паролей.

Это аналог fail2ban для ssh?

Дело не в ужасе работы под root. Дело в двойной защите, когда вход по ssh по ключу только от имени пользователя и еще нужно знать пароль пользователя, чтобы вызвать sudo.

Просто сделай это

жир - уже сделал...

У меня защита тройная.) Ключ+пароль и никакого sudo.

Ну если ключ защищенный паролем считать за двойную защиту, то по такой логике у меня тоже тройная.
А по поводу sudo: мне он удобнее тем, что не нужно помнить пароль root, только свой и все.

не нужно помнить пароль root

Рекомендую куплеты из песен, со всавками/заменами из спецсимволов по собственным алгоритмам. Длинно, надежно, сердито.

А смысл? Есть отличный механизм sudo и один пароль. Удобно и надежно.

Рекомендую куплеты из песен, со всавками/заменами из спецсимволов по собственным алгоритмам.

«Сорок тысяч обезьян...» наше все :) И все-таки могут заснифить банальными «съемками» набора символов.

Спасибо всем за вашу моральную (и не только) поддержку! Поразмыслив, решил, что самая надежная защита от хакеров и некоторых продвинутых бот-сетей - это тупо лишение их доступа. Пусть хоть с 10 тысяч ip пробуют подобрать пароли, система просто не допустит их до авторизации даже. Перелопатив кучу гугло-яндекса, смог поставить себе такую защиту, с помощью iptables. Теперь в мир открыт только 80 порт, а на 22й можно зайти лишь с определенных подсетей, прописанных мною. Если кому интересно, могу выложить все свои шаги, как я это делал.

Теперь в мир открыт только 80 порт

«Современные „недотехнологии“ на нем вижу я висят»
Я бы в таком случае за 22-ой не переживал.

«Современные „недотехнологии“ на нем вижу я висят»

В смысле?

Я бы в таком случае за 22-ой не переживал.

Почему?

В смысле?

web ломают частенько, рано, поздно, но ломают. Бывают всякие исключения, без всяких wp и тому подобных комбайнов. Но если есть комбайн, то точно сломают.

wp - вордпресс? Не собираюсь ставить никакой cms, вообще не для этого сервер поднимаю. Как же защитить 80 порт? Закрыть то его не получится.

Именно 80-ый никак, ломают же через софт. И дырок находят много, в старые времена это были дыры самого сервера, сейчас скорее во всяких либах/тулзах используемых на сайте. Если наваяете статичный сайт без убер многослойных взял-у-друга/он-у другого/скаченный-ради-однойфункции-код/js/на js/php/и-lib-ой погоняет то должно быть нормально, только сейчас это редкость.

Ну ясно, инди-разработчику нужно учиться быть специалистом по безопасности и в администрировании и в программировании)

.Теперь в мир открыт только 80 порт,

А ещё 443 можно. Чтоб на нём openvpn слушал. Чтобы можно было из анально огороженных сетей где только 80/443 по впну к себе ходить, а там по ssh уже подключаться по портам каким надо. Но это так, для тех, кто в грустных условиях живёт.

Запрети логин по паролю, разреши по ключу.

И что ? Это не помешает ломиться, жрать полосу и ресурсы. По чуть-чуть, но когда их много, становится весьма заметно.

жрать полосу и ресурсы

Может ты еще ресурсы диска экономишь, избегая записывать на него?

Может ты еще ресурсы диска экономишь, избегая записывать на него?

В общем-то да. Например использую syslog-ng, rrdcached.

Ты никогда не видел под три десятка ботов, занимающихся перебором на одном бедном хосте ?

Может ты еще всякое жручее говно на нодах, питонах и джябях переписываешь на богоизбранную сишечку, чтоб память зря не жрало?

Надеюсь, таких анальных сетей немного среди тех, в которых я планирую сидеть - wifi-сети свободного доступа, например, или сети 4G. Еще не проверял.

Я в подобной в среднем по семь-восемь часов в день сижу. ( :

На растишечку.

Одна такая, в других не смотрел?

Корпоративная сеть? Провод один, ага. В соседних розетках то же самое.

Корпоративная сеть это грустно - админы с нахмуренными бровями и никаких блэкджеков с девочками. Мне вот интересно, web-сокеты будут работать из таких сетей? А то веб-сокетный сервер собираюсь поднимать

Ну, если у вас, условно, пользователь идёт на example.com и получает фронт, который шлёт запросы на example.com/api, а /api nginx, будучи реверс-прокси, перенаправляет вовнутрь к веб-сокетному серверу (или любому другому бэку) (как, собственно, весь веб сейчас и делается), то всё работать будет прекрасно.

Дело в двойной защите, когда вход по ssh по ключу только от имени пользователя и еще нужно знать пароль пользователя, чтобы вызвать sudo.

Я правильно понимаю, что сначала вход под одним пользователем, а потом sudo ввод пароля другого пользователя?