Отбрасывать пакеты с iptables для входа в ssh пользователем root
Возможно ли, чтобы iptables DROP любые пакеты с пользователем "root", чтобы демон SSH даже не тратил циклы на отказ в попытке входа в систему?
I уже запрещает попытки входа в систему root в моем ssh_config. Но это все еще требует ресурсов, чтобы отклонить и зарегистрировать попытку. Я хочу ОТБРОСИТЬ пакет на брандмауэре (он же iptables) еще до того, как он будет отправлен демону.
Так можно ли отбрасывать пакеты на основе пользователя?
Я хочу избегать использования таких решений, как fail2ban, которые запретить IP-адрес. Я не хочу запрещать IP-адрес.
Это невозможно, как описано в протоколе SSH RFC, поскольку данные для входа не отправляются, пока соединение не будет установлено и зашифровано. Следовательно, брандмауэр никогда не увидит имя для входа. Таким образом, брандмауэр не может отбрасывать пакеты, основываясь на том, что он не видит.
Отказ в обслуживании - это известная уязвимость протокола SSH, и ее необходимо смягчить другим способом.