Аутентификация SSH - предотвращение Атаки перебором
Горестно небезопасный ответ: http://linuxcommando.blogspot.com/2008/10/how-to-disable-ssh-host-key-checking.html
(В основном питайтесь ssh директивы опций команды, которые заставляют его посмотреть на /dev/null для ключей хоста и игнорируют то, что это никогда не видело ключ, прежде чем - Решит проблему, но выбросит любые меры предосторожности безопасности и оставит Вас открытыми для нападений сбора урожая пароля или закрытого ключа),
Вам действительно нужен ssh-доступ из любого места в Интернете? Если вы можете сузить его до пары фиксированных диапазонов IP-адресов, таких как рабочий или домашний, и ограничить SSH-доступ только для них, вам будет лучше.
Я понимаю, что это не очень хорошо, если вы в пути и нужен доступ из случайной беспроводной сети в случайном диапазоне IP. Вот для чего нужен vpn, скажем, openvpn с двухфакторной аутентификацией (один из которых является подписанным клиентским сертификатом), чтобы получить доступ к среде, в которой вы можете получить доступ к своим ящикам с помощью SSH.
Двухфакторный vpn обеспечит вам большую безопасность, чем SSH на основе сертификатов и дает вам только одно место для экстренного обновления безопасности, если, например, была обнаружена огромная дыра в Openssl. Тогда вы можете просто обновить свой openvpn-сервер, а не паниковать и спешить с исправлением всех ваших хостов, на которых работает ssh.
Если вы полностью отключили вход на основе пароля (PasswordAuthentication = no в sshd_config), тогда атаки методом перебора станут намного сложнее, а то и невозможны - клиенту потребуется предоставить большое количество ключей. , ни один из которых не связан ни с учетной записью, ни друг с другом.
Тем не менее, вы все равно можете захотеть заблокировать IP-адреса, которые создают большие объемы недопустимого трафика входа в систему - возможный вектор атаки DoS.
Denyhosts - это "анализ журнала" на основе обнаружения "решение; он сканирует журнал аутентификации sshd на предмет попыток входа в систему. Это работает как для паролей, так и для открытых ключей.
Fail2ban идет еще дальше и позволяет обновлять правила брандмауэра с этими результатами; он лучше подходит для предотвращения DoS-атак, чем denyhosts.