Du brauchst kein Mathematiker zu sein um auf das Ergebnis zu kommen, dass Angriffe auf das root-Passwort nur funktionieren, wenn man ein extrem mieses Passwort fuer root gewaehlt hat, schau ruhig mal in Deine /var/log/auth.log rein wie langsam die Bots sich da durchprobieren.
Die Systemlast ist zu vernachlaessigen, zumindest solange sich kein ganzer Schwarm auf Dich eingeschossen hat, es aendert sich aber durch das Erzwingen von Keys daran ueberhaupt nichts, denn die Bots koennen doch gar nicht feststellen, dass Keys aktiviert sind. Die haben einen Satz Passwoerter in einer Textdatei und sind um den Code von Hydra herumgeschrieben. Sie probieren stur die Liste durch und fertig.
Nix fuer ungut, aber ihr wuerdet ohne genauso gut fahren.
fail2ban macht ja eigentlich nix anderes, nach ein paar Versuchen sperrt es per iptables die Angriffs-IP fuer eine bestimmte Zeit, 5 Sekunden spaeter geht’s dann von einer anderen IP dieses Netzes weiter.
Wenn ihr ernsthaft Angst vor den
Failed password for root from 178.128.21.38 port 36894 ssh2
habt, dann legt ssh auf einen anderen Port, da sucht/findet euch niemand, Du kannst Dir das ueber laengere Zeit mit portsentry anschauen. Die Bots haben draussen auf den bekannten Ports soviel Futter, dass sie es nicht noetig haben auch noch ssh-Ports auf den dynamischen Ports ganz oben zu suchen. Da kommen uebrigens so gut wie keine Portscans an, ich hatte in den letzten Jahren auf einem Port 50tausendirgendwas nicht eine einzige Anfrage.
In Anbetracht der Tatsache, dass Deine/Eure Daten einen ueberschaubaren Wert haben, ist nicht davon auszugehen, dass sich Geheimdienste oder ganze Hackerkollektive auf diese stuerzen, da gibt es tieferhaengerende Fruechte im Netz - zumindest wenn Du ein paar grundlegende Dinge beruecksichtigst.
Falls Du paranoid bist, dann kannst Du noch portknocking aktivieren, macht Dir das Leben schwerer, das System einen Furz sicherer, der knockd ist im Debian-Repository drin.
Die grundlegende Frage bzgl. Haertung waere ja, wie oft machst Du Updates auf Deinem Server? Hatte schon geschrieben, dass Einbrueche in Deinem System ueber Sicherheitsluecken im Serverdienst die Regel sind und nicht ueber durchprobierte ssh-Passwoerter. Da hilft Dir keine Firewall der Welt, diese sind uebrigens auf dem Server auch so gut wie immer sinnbefreit, ein lsof -i -P zeigt Dir die nach draussen offenen Ports, was bringt da noch eine Firewall?
Es gibt ja auch Leute, die halten das sudo-Gewese unter Ubuntu fuer ein Sicherheitsfeature, dafuer war es aber eigentlich nie gedacht und weder bei Ubuntu noch bei den Raspherry Pis ist es ein solches, es macht einem das Leben nur schwerer - denke da hatten wir es aber auch schon drueber.
Gruss Harry
