Атаки с использованием грубой силы ssh замедлили мои серверы

Вы не продемонстрировали, что атака на sshd вызывает проблему. . Если вы правильно заблокировали порт 22, этого не должно происходить.

Однако, если (как кажется) вам не нужно подключаться через ssh из более широкого Интернета, вы можете просто запретить sshd прослушивать внешний адрес. Отредактируйте sshd_config и измените директиву Listen

ListenAddress <internal ip address>

, затем перезапустите sshd.

Если ваша нагрузка остается высокой, значит, проблема в другом.

В вашем вопросе очень мало деталей, поэтому любой ответ требует некоторых предположений. Однако в прошлом я видел похожие симптомы и смог их устранить.

Для решения проблем на серверах, которые я администрирую, я полностью отключил аутентификацию по паролю с помощью этой строки в / etc / ssh / sshd_config :

PasswordAuthentication no

Прежде чем вносить это изменение, вы, конечно, должны убедиться, что в законных логинах уже используется аутентификация с открытым ключом, в противном случае эта строка заблокирует некоторых законных пользователей. Существует несколько различных причин, по которым аутентификация с открытым ключом более безопасна, чем аутентификация по паролю.и, если он настроен правильно, это также будет удобнее для пользователей.

После отключения аутентификации по паролю количество ресурсов, расходуемых злоумышленниками, пытающимися угадать пароли, резко упало. Я все еще видел множество попыток подключения, но никогда не наблюдалось значительного потребления ресурсов.

Еще одна строка, которую я считаю полезной в / etc / ssh / sshd_config , это:

UseDNS no

Отключение поиска DNS в ] sshd предотвращает остановку соединений при возникновении проблем с DNS на рекурсоре, используемом сервером, или полномочных серверах, хранящих информацию о клиенте. Он также избавляется от сообщений ВОЗМОЖНАЯ ПОПЫТКА ВЗРЫВА в файлах журнала, которые скорее сбивают с толку, чем полезны, поскольку они создаются эвристикой, которая не точно идентифицирует фактическое нарушение попыток.