Ломать тебя будут постоянно, это нормально. Вот например мой домашний веб-сервер:

atomserv ~ # zcat /var/log/nginx/access.* | grep -i phpmyadmin | head -n 20
58.221.46.206 - - [19/Jul/2016:07:54:30 +0300] "GET /phpMyAdmin HTTP/1.1" 301 184 "http://95.27.67.32/phpMyAdmin" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
58.221.46.206 - - [19/Jul/2016:07:54:32 +0300] "GET /phpMyAdmin HTTP/1.1" 404 6270 "http://95.27.67.32/phpMyAdmin" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
178.238.224.98 - - [19/Jul/2016:12:27:24 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
178.238.224.98 - - [19/Jul/2016:12:27:24 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
5.154.191.155 - - [21/Jul/2016:08:02:07 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
5.154.191.155 - - [21/Jul/2016:08:02:07 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
13.76.140.156 - - [24/Jul/2016:02:40:23 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
13.76.140.156 - - [24/Jul/2016:02:40:24 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
13.76.140.156 - - [24/Jul/2016:02:40:24 +0300] "GET /PHPMYADMIN/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
159.8.64.60 - - [16/May/2016:07:12:19 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
159.8.64.60 - - [16/May/2016:07:12:19 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
185.40.4.41 - - [17/May/2016:03:10:29 +0300] "GET //php/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
185.40.4.41 - - [17/May/2016:03:10:29 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
185.40.4.41 - - [17/May/2016:03:10:29 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
94.102.58.3 - - [18/May/2016:19:50:22 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
94.102.58.3 - - [18/May/2016:19:50:22 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:56 +0300] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:56 +0300] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:56 +0300] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:57 +0300] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"

atomserv ~ # zcat /var/log/nginx/access.* | grep -i phpmyadmin | wc -l
1094

Поменять ссш порт, чтоб уменьшить количество мусора в логах и не париться.

поставил центос, накатил в инсталлере гномовскую гую, купил ru домен итп.

самое время появится в новостях в качестве иноватора
шутю

прям ностальгия
все эти смены стандартных портов и добавление правил в iptables ...

Как корабль назовёшь, так он и поплывёт.

А вообще первый комментарий.

fail2ban

гую ставил ради первого запуска так как не был уверен что смогу всё с консоли сделать.

прям ностальгия

да?)) а на чём у тебя серв щас?

это было про то, как хоть малость открытый в мир айпишник страдает
сразу
просто сначала меняй 22 на подальше (9922, наугад)
далее по мере необходимости

после можешь попробовать страдать мазохизмом, пропускать остальные атаки , которые сами по себе будут обламываться в виду их направленности

либо пытаться отлавливать все через фильтр

проще учесть что в тебя постоянно летят камни и построить соотв. стену

Посоветую использовать достаточно длинные и случайные пароли и не забивать голову ерундой.

Чем вы пользуетесь?

fail2ban

Что посоветуете?

Заплатки безопасности не забывать ставить

т.е. если я не зафейлюсь то могу спокойно залогинится в систему?

Любишь читать километровые логи? Или вообще их не читаешь?

Умею настраивать систему логгирования так, чтобы читать то, что мне нужно.

Ты про fail2ban? Ну да, если уложишься в сколько-то попыток (количество, естественно, настраивается), то спокойно логинишься, если нет — бан на заданное время

Поскольку fail2ban, пусть и с небольшой вероятностью, может залочить и меня (мало ли, кто со мной IP шарит в текущий момент), просто запрещаю вход по паролям.

Именно поэтому на моём домашнем компе SSH ВСЕГДА висел на нестандартном порту. Плюс авторизация по ключам - категорически рекомендую.

fail2ban поставить, настроить и забыть.

Поскольку fail2ban, пусть и с небольшой вероятностью, может залочить и меня

Я-бы сказал что эта вероятность мизерна даже если ты ходишь на свой сервак через публичный китайский прокси.

На уютненьком локалхостике это вполне себе вариант, а вот когда серверов становится, скажем, десяток то запоминать нестандартные порты становится напряжно.
Можно использовать один и тот-же порт на всех серверах, но это прокатит пока этот десяток серверов только твой. Если нужно работать с серверами которые настраивал кто-то ещё то без запоминания портов не обойтись.
Так-что ну нафиг. PermitRootLogin no, вменяемый пароль, fail2ban и норм.

Авторизацию только по ключам и пусть ломятся сколько влезет.

Ну так вероятность того, что fail2ban будет полезным — нулевая. Поэтому к чёрту его.

Это с чего-бы? За достаточно долгое время можно подобрать даже адекватный пароль. Использование fail2ban СИЛЬНО увеличивает необходимое время. Ну и плюс моральное удовлетворение от забана супостатов (:
А ресурсов fail2ban жрёт мало, так что пусть себе стоит.

За достаточно долгое время можно подобрать даже адекватный пароль.

Хотя бы 8 символьный то? Боюсь, к тому времени ты умрешь пока подбирать будешь.

Проблема с хорошими паролями в том что все знаю что их нужно использовать, почти все говорят что их используют, но при этом перебор вариантов вроде Qwerty1 всё-ещё остаётся эффективным (:
Даже если твой пароль надёжен, трудно быть уверенным во всех остальных людях имеющих доступ к серверу.
В общем ну нах, с f2b как-то спокойнее.

Вход по паролям не нужен же. А подбирать ключ придётся до тепловой смерти вселенной.

fail2ban — иллюзия защиты, зависящая от работоспообности логгера и добавляющая сложности стеку.

Использование fail2ban СИЛЬНО увеличивает необходимое время.

Использование fail2ban НИКАК не увеличивает необходимое время, поскольку сейчас есть ботнеты-в-аренду, начиная с легальных (которые мелькают тут в /job/) и заканчивая криво настроенными роутерами.

Плюсую этого товарища: нестандартный порт + авторизация по ключу = ought to be enough for anybody

запоминать нестандартные порты становится напряжно.

~/.ssh/config в помощь. Или remmina/pac manager/etc...

На уютненьком локалхостике это вполне себе вариант

А что, у ТС суровый ынтырпрайз?

+100500 и не надо SSH на другой порт перевешивать.

уже лет 15 ломятся безрезультатно. Да и ключ у меня с парольной фразой если вдруг я его потяряю/украдут.

Вход по ключам это хорошо, но не всегда удобно таскать их с собой. Из-за этого я так и не перешёл на него повсеместно.

Ботнет это конечно хорошо, но брутить даже говнопароль пароль вида Toly@n-666 в 10000 потоков имея по 5 попыток в час/день/год на поток всё-равно как-то не очень. Разве-что брутить именно схему имя-сепаратор-цифра.

У меня вот совсем не суровый ынтырпрайз, скорее наоборот — мимимишный колхоз. Но в этом колхозе я с ходу насчитал 9 серверов на которые я ходу регулярно и ещё есть сколько-то на которые я хожу редко и потому с ходу не вспоминаю. Перспектива запоминать девять нестандартных портов меня как-то не прельщает. То-же самое с перспективой таскать с собой повсюду ~/.ssh/config

придумай свой личный нестандартный порт и юзай его везде
песня из 90 вспомнилась: ты юзай его везде, 1836 ...
в чем проблема?

в том что кто-то наконфигурить, а потом крен разберешься? так ты уже сам это сделал.

Откуда вы только такие долбанутые заголовки берёте. Какой ещё нафиг Кенни?

и, еще раз, такое телодвыжение отбивает ровно одну атаку
но в большинстве своем боты ходят на стандартные порты, ткчто 80, 22 ...

Off

песня из 90 вспомнилась: ты юзай его везде,

Ты цалуй меня везде, 18 мне уже ;)

Уже писал об этом выше по ветке. Не только на свои сервера ходить надо. Да и людям которым надо ходить на мои сервера надо ходить не только на мои сервера. На нафиг такой зоопарк.

Ты сейчас говоришь о себе. У ТС - один полудохлый сервер. Если он на нём не запомнит нестандартный порт - то ему уже ничто не поможет.

запоминать девять нестандартных портов

А использовать ОДИН порт тебе не позволяет религия?

Если на твой сервер ходят другие люди - вот тогда менять порт уже вредно. Но тут явно не тот случай.

Порт менять — не то что я бы хотел так как пароли достсточно сложные просмотрщик логов есть. И да! fail2ban великолепная игрушка!

Status for the jail: sshd
|- Filter
| |- Currently failed: 1
| |- Total failed: 77
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 20
`- Banned IP list:

прям глаз радует. это за одну ночь то)

И кстать. Что там у нас есть с аналагами logwatch? Что сами юзаете?

1. Нестандартный порт обязательно, даже не обсуждается, всегда и везде.

2. Вход только по ключам.

3. fail2ban галимое костыльное ненужное решение.

4. Для реальных параноиков: закрыть порт любым удобным port knock-ером. Или настроить VPN, и ssh уже только внутри VPN-а (порт VPN-а так же можно закрыть knock-ером).

5. На 22 порту повесить honeypot и ловить лулзы.

А будешь продолжать слушать всяких клонов и юзать стандартный порт:

тебя отсканят и занесут в базу, а потом, как только найдут очередную дырку в openssh-e или очередной shellshock, к те залетят быстрее, чем ты обновишься, поставят kernel rootkit, и будут юзать тебя в своих интересах, о чем ты скорее всего вообще никогда не догадаешься.

пароли достсточно сложные

man Авторизация по ключам.

Port Knocking

просто запрещаю вход по паролям

Есть такая весёлая такая тема, что при обновлении openssh по старым ключам ты можешь не зайти, а парольный вход отключен. Хорошо, если есть ikvm/ipmi/ilo/drac.

это же центось, такие мажорные изменения вряд ли прилетят в рамках обычного апдейта безопасности

Точно не прилетят.