60 тысяч попыток брута ssh в сутки, что из харднинга реально работает, а что карго-культ

[antico]

VDS на таймвебе за 330р, наружу торчат ssh и nginx. Глянул journalctl -u ssh за сутки: 58 тысяч failed password. Сделал стандартное: PasswordAuthentication no, PermitRootLogin no, fail2ban с maxretry 3. Поток упал тысяч до 20, ботнеты теперь распределённые, по 2-3 попытки с адреса, fail2ban их почти не ловит.

Сменил порт на 50022, стало 200 попыток в сутки. Но ощущение, что проблему замёл под ковёр, а не решил. Что из остального арсенала имеет смысл: port knocking, geoip блок, allowlist по своим адресам, спрятать всё за wireguard? Или с ключами можно просто расслабиться и перестать смотреть в логи?

[hunter22]

с ключами расслабься. Ботам нужен пароль admin/admin, твой ed25519 они будут перебирать до тепловой смерти вселенной. Поставь лимит на journald и живи

[golanggeek]

смену порта все обзывают security through obscurity, но 99 процентов шума она убирает, твои же цифры это показывают. Целевую атаку не остановит, так целевой атаке и fail2ban не помеха. Пусть критики сначала свои логи покажут.

[partha]

wireguard и закрытый 22 порт, единственный правильный ответ. Поднимается за 15 минут, клиент есть на телефоне, наружу торчит только udp, который на сканах выглядит как тишина. Три года так живу на всех своих хостах и на клиентских тоже.

[regexlover]

а потом wireguard отвалится после обновления, а ты в отпуске в Казахстане с одним телефоном, и привет. Запасной вход нужен всегда, иначе это харднинг до первого локаута. Коллега так сутки выбивал KVM-консоль через саппорт хостера, очень весело было.

[fpga87]

port knocking в 2026, серьёзно? игрушка для домашнего сервера. В команде из трёх и больше человек оно умирает за неделю, проверено

[dougo1]

@fpga87, geoip срезает процентов 80 шума: nftables set со списками сетей по странам, обновляешь раз в неделю по крону. Только учти, что сам можешь оказаться за пределами разрешённого списка. Я так из Армении свой же сервер дебажил через мобильный vpn, ну такое удовольствие.

[kotlinmaster]

fail2ban это прошлый век. Поставь crowdsec, он распределённые ботнеты как раз ловит за счёт общих блоклистов. У меня на 4 хостах поток упал с десятков тысяч до сотен, бесплатного тарифа хватает за глаза.

[RedisNinja]

@hunter22, 58 тысяч в сутки это 0.67 запроса в секунду. Вы тут всерьёз обсуждаете нагрузку, которую sshd даже не замечает. Единственная реальная проблема из ОП это распухший журнал, и она решается строчкой SystemMaxUse в journald.conf за одну минуту.