как настроить SSH без пароля по ключу и закрыть брутфорс

[zhenya_x]

Поднял VPS, сразу в auth.log увидел тысячи попыток брутфорса на root по SSH. Хочу нормально закрыть: настроить вход только по ключу, отключить root login и вообще заблокировать левые IP. Знаю что это базовые вещи, но хочу сделать правильно и не отрезать себя от сервера в процессе. Подскажите последовательность действий.

[ruslan_py40]

Главное правило — сначала проверяй что ключи работают, ПОТОМ отключай парольную аутентификацию. Порядок такой: 1) генеришь ключ на локалке (ssh-keygen -t ed25519), 2) копируешь на сервер (ssh-copy-id user@server), 3) проверяешь что заходишь по ключу в отдельном терминале НЕ закрывая текущую сессию, 4) только после этого меняешь sshd_config.

[ruslan8009]

Вот что менять в /etc/ssh/sshd_config:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
AuthorizationKeysFile .ssh/authorized_keys
Port 2222

Смену порта со стандартного 22 на что-то нестандартное резко снижает шум в логах — не безопасность сама по себе, но жить приятнее. После изменений: systemctl reload sshd, и обязательно проверь в новом терминале перед тем как закрыть старый.

[lev8912]

Для блокировки брутфорса ставь fail2ban — это стандарт де-факто. Устанавливается из пакетов, конфиг минимальный:

apt install fail2ban

Создай /etc/fail2ban/jail.local:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

Это будет банить на час любой IP с 3 неудачными попытками за 10 минут. Проверить статус: fail2ban-client status sshd — увидишь счётчики и забаненные IP.

[sasha2810]

Дополнительно стоит настроить ufw если ещё не сделал:
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

Если знаешь свой домашний IP — можно разрешить SSH только с него: ufw allow from 1.2.3.4 to any port 2222. Но тогда при смене IP сам себя заблокируешь — держи в уме.

[savva_spb]

Ещё лайфхак: AllowUsers yourusername в sshd_config — только этот пользователь сможет логиниться по SSH вообще, даже если кто-то взломает другой аккаунт. Плюс настрой ClientAliveInterval 300 и ClientAliveCountMax 2 — будет отключать зависшие сессии через 10 минут.

[vera]

Про ed25519 vs RSA: ed25519 — современный стандарт, короче, быстрее, безопаснее. Если по какой-то причине нужен RSA — минимум 4096 бит. Старые ключи на 1024/2048 RSA пора выбрасывать.