защита ssh от брута

кощунство не юзать гугл.
http://www.linux.org.ru/view-message.jsp?msgid=1818184

всё как обычно переросло в кидание какашками :)

Выставить задержку при неправильном логине в 20 минут, брутить будет вечность + еще пару лет :) Можно настроить iptables принимать подключения клиентов только с определенных IP -- я так обычно делаю, можно сделать аутентификацию по ключу... вариантов масса.

1. Лучшая защита от ботов -- перенос ssh на др. порт.
2. запрети вход руту
3. хорошие пароли не брутфорсятся в разумное время.
4. ограничения по ip, username, ...

А для укрепления параноии можно добавить: 

5. Port Knocking 

fail2ban

Для укрепления паранои предлагаю удалить sshd и login

>всё как обычно переросло в кидание какашками :)
ну не какашки, а замечание). просто первый запрос в гугл выдал лор, с ссхгуардом, и предложениями вроде смены портов, порткокинга, етц.

http://portknocko.berlios.de/README.html

и чем же это лучше древнего knockd?

Взято мною с не_помню_какого_форума (сам пока не проверял)
----------------------------------------------------------

Anti-ssh-bruteforce (нужна поддержка recent match в ядре):

1. Сохраните текущие правила командой iptables-save > /etc/iptables
2. Откройте /etc/iptables в вашем любимом текстовом редакторе.
3. Добавте следующие правила в подходящем порядке в соответствии с уже созданными правилами.

Код:

iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP

4. Активируйте все правила iptables-restore /etc/iptables

После 3 попыток поключиться в течение 60 секунд, робот блокируется и отваливает :) и прочти нет мусора в логах,
а главное - лишнего траффика, в отличие от pam_abl. По желанию можно увеличить параметры --hitcount и --seconds.

>>После 3 попыток поключиться в течение 60 секунд, робот блокируется и отваливает :)

Отваливает на совсем или на время я чтото не понял???

я же написал: взято мною с какого-то форума
прокомментировать не могу, но надеюсь что будет полезно

(P.S. поробуй погуглить по фразам из примера)

блокирует на 1 минуту, этого вполне достаточно, чтобы отстали.

супер, спасибо попробую!

> могут забрутить пароль.

У вас пароль 123?

У меня за восемь лет ни одного пароля не подобрали, а если машину трахают очень сильно, то меняю порт SSHD

iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP

Пример AFAIR кинул кто-то в ru_linux в ЖЖ посте с аналогичной тематикой примерно полгода назад. Первым скопипастил на ЛОР я (о, какая честь), дальше поехало ;)

это я к тому, в каком направлении искать. Поищите тот пост, комментариев там много

тем, что это плагин к iptables, никаких демонов не нужно

Интересная хреновина.