Админы, а что это за SYN_RECV в netstat -p?

Тебе прислали SYN, а потом не прислали ACK. Возможно, тебя пытаются задосить через переполнение количества открытых FD. Почитай про fail2ban, может спасет.

Теперь так:

tcp        0      0 192.168.1.99:ssh        218.92.0.185:34998      ESTABLISHED 2789/sshd: root [pr 
tcp        0    180 192.168.1.99:ssh        192.168.1.103:36094     ESTABLISHED 473/sshd: root@pts/ 

В общем поставил fail2ban и, судя по его логам, он взялся банить.
Наверное пронесло, поскольку last показал только мои логины, никто странный не логинился.

Всё, я приплыл?

Да нет, только подбор.

Для сведения.

поскольку last показал только мои логины

Вот тут есть много нюансов. И last уже не last и netstat уже не netstat. Гадости разные бывают.

ссх на не стандартный порт перевесь, и запрети логин root'а (man sshd_config искать PermitRootLogin)

ссх на не стандартный порт перевесь

Плацебо

и запрети логин root'а (man sshd_config искать PermitRootLogin)

Давно из каробки во всех популярных дистрах запрещено. Был не прав, посмотрел на выхлоп у ТС. Занятно.

Только вот это не спасет от вариантов вида user: alex passwd: alex, где юзер alex с полноценным sudo.

Плацебо

Понятно, что тот, кому реально надо, быстрой найдёт, но от over9k ботов спасёт.

Только вот это не спасет от вариантов вида user: alex passwd: alex, где юзер alex с полноценным sudo

А это уже ссзб

Понятно, что тот, кому реально надо, быстрой найдёт

Неа, это и от ботов не спасает. Просто вы увеличиваете начальное время, но не сильно намного. Повторюсь, это плацебо (или по другому страусиная политика).
А от:

от over9k ботов спасёт

тот же fail2ban и все равно на каком порту у вас висит sshd

И вот ещё, опять я возможно не прав. ТС - же не написал что у него root по паролю, так что может все норм.

Неа, это и от ботов не спасает

То-то количество попыток подбора резко падает до нуля после этого).

Я не спорю, может сейчас боты умнее, у меня сейчас ссх не торчит наружу, но N лет назад это помогало.

То-то количество попыток подбора резко падает до нуля после этого).

«Попробуй кивнуть» (c) анек
А вы подождите недолго, если это ip хостинг компании то ждать долго не придется :)

но N лет назад это помогало.

Помогало от чего? Что может найдут, а может не найдут? «Страус»

Помогало от чего?

От килотонн мусора в логах. А найти и с fail2ban найдут, перебор обламается разве что. Но уязвимости в ssh никто не отменял (для любителей аптайма в over9k дней без каких-либо обновлений)

P.S. Я не говорил, что fail2ban не нужен. Нестандартный порт спасёт в первом приближении от скрипткидди и тупых ботов.

Нестандартный порт спасёт

Вы так и не поняли? Он не спасёт никаким образом. К безопастности подобное решение не имеет никакого, от слова совсем. Может уменьшить вероятность, понимаете вероятность! а не сам факт что поломают, не более того. Третий раз повторю «Страус с головой в песке» «может заметят, а может нет». Но если «заметят» «страусу» когда его «кушать будут», от «того что он спрятал голову» не легче.

Я всё давно понял. В таком контексте и fail2ban не спасёт. К безопасности относятся: Надёжные пароли, своевременное обновление сервисов. Всё.

Возможно я неверно использовал «термин» спасёт. Имелось ввиду, что попыток подобрать будет меньше, а то и совсем (если это делается не целенаправленно: поламать конкретный хост), не более.

В таком контексте и fail2ban не спасёт.

Спасет в большей мере. n-попыток и пожизненный бан. Ресурсов меньше жрать, демон не будет запускаться.
Ну и не забываем доступ по ключам. А knocking port уж вообще по вкусу.

демон не будет запускаться

Демон в принципе уже запущен и слушает порт (ну если только не inetd) :) Я просто придираюсь) Понятно, о чём речь.

Я лишь привёл простую меру, а fail2ban в голове как-то сразу не всплыл.

(Люблю ЛОР за это, срач плодит кучу полезной информации, которая поможет ТС)

Ресурсов меньше жрать

Жрать будет ядро, чтобы дропнуть пакет. Но таки да.

drop пакета на уровне ведра != форк процесса по потребляемым ресурсам.

Но таки да

Плацебо

Статистика с тобой не согласна

Только вот это не спасет от вариантов вида user: alex passwd: alex, где юзер alex с полноценным sudo.

Конечно спасет!

Статистика с тобой не согласна

«Статистика» - продажная женщина. Недавно переносил чужой хостинг где ssh на «другом порту», зашибися как быстро в логах понеслись попытки ssh соединения, прямо сам удивился. Домен ещё в dns не переписал на новый ip, т.е. этот вариант отметаем.

Только вот это не спасет от вариантов вида user: alex passwd: alex, где юзер alex с полноценным sudo.

Конечно спасет!

Это сейчас была шутка юмора надеюсь?

Стойкий пароль + ограничение на 3 коннекта в минуту с ипа на порт.

Плацебо

Я бы не сказал. Вот поднял я недавно vps'ку, на 22 порт ломятся с первых секунд открытия, просто толпами. На 2122 вообще левых попыток конекта нет.

Все равно «Плацебо» читайте выше что я писал, к безопастности это не имеет отношения.

В общем поставил fail2ban и, судя по его логам, он взялся банить.
Наверное пронесло, поскольку last показал только мои логины, никто странный не логинился.

Как ты его натравил на syn_recv? Там вроде как из коробки такого фильтра нет.
to all: Оно то у меня тоже работает, но интересно кто как делал.

:) ооо, сразу видно «секьюрити эксперта». fail2ban, ддос, уязвимости в ssh. X-Frame-Options у тебя в репортах тоже medium severity? :)