Какова оптимальная продолжительность запрета атаки перебором?

Общего правила для оптимального времени запрета не существует, оно зависит от множества факторов, включая

• Тип сервера/сервиса
• Целевая аудитория
• Тип атаки
• и конкретная атака/атака.

Конечно, это также верно и для того, чтобы решить, нужно ли вам вообще отменить запрет - если очень мало IP-адресов может законно подключаться к вашим службам, то запрет атакующих (полу-) навсегда может быть неплохой идеей, но в других случаях это создаст больше проблем, чем пользы.

Отредактируйте свой комментарий:

Самая важная защита для учетных записей root - это

• не разрешать root-доступ, начиная с
• использовать только логин на основе ключей для других целей и запрещать пароли.

Это также помогает защитить вас от распределенного типа атаки перебором, который вы можете наблюдать сегодня, когда вы медленно атакуете большое количество машин бот-сети, каждая из которых пытается перебрать только очень небольшое количество паролей, таким образом, вообще не запуская такие вещи, как fail2ban.

2-я редакция, относительно 2-го комментария:

Мы явно находимся на территории "это зависит". Пример из моего окружения:

• На машине 1 есть пользователи, входящие во внешние сети. Я не могу отключить входы с паролем (по причинам :( ). Время запрета установлено на 10 минут.
• Машина 2 имеет только администраторов, входящих в систему с очень небольшого количества медленно меняющихся IP-адресов. Время запрета установлено на 24 часа.

Дело в том, что 24-часовой запрет работает лишь незначительно лучше, если вообще (*), но машина 2 гораздо лучше защищена, тем не менее, из-за ограничения на вход с не корневыми ключами.

(*) Это мое впечатление и не основано ни на каком реальном статистическом анализе лог-файлов.