Есть еще вариант через iptables сделать ловушку. Если чел в течении 30 секунд инициализирует больше чем 10 коннектов в 22 порт - то банить навечно. Гугулить по ключевым словам: ssh iptables bruteforce
Очевидно же - потеряется всякий смысл подбора пароля. А подбирать ключи RSA длиной от 4096 бит - задача на несколько лет, тем более что настраивается SSH под такие задачи за пару минут. Я в своё время даже статейку накатал. Там, конечно, ни слова про то, что ключ сервера надо удлиннить, но т.к. я об этом только что сказал, загуглить и за 5 минут сделать это не составит труда.
Насчёт fail2ban была на хабре статья от одного отечественного участника проекта. Проблема в том, что брутфорсеры тоже не лыком шиты и знают, какие дефолтные настройки в fail2ban на таймауты для одного IP. Посему при взломе с помощью ботнета время между запросами увеличивается таким образом, чтобы не попасть на кукан к fail2ban. Разработчик уже добавил новый код, который позволит с этим бороться, но пока нет точной информации, вошли изменения в основную ветку, или нет.
Я не призываю отказываться от fail2ban полностью, тем не менее, одним только им не обойтись, а не использовать вход по ключам в 2015 году считаю моветоном.
ddos и перебор пароля както не вяжется, но вот стандартные схемы от попыток входа в твой ссх:
1) сменить стандартный порт - этим ты урежешь 99,9% попыток входа
2) fail2ban - постоянно обновляемая утилита, злосная школота тебя тревожит не будет
3) отключить авторизацию рута
4) используй директиву AllowUsers
Очень вяжется. ddos - следствие этого перебора. То есть, ddos, в данном случае, не цель, но такой вот эффект присутствует, когда количество одновременно перебирающих становится заметно больше одного. От этого, на раз, спасает iptables recent.
но думаю самая голимая машинка выдержит пару тыщ таких переборов.
Нет, проверял лично. Celeron CPU 3.20GHz уже десяток напрягает заметно. На 2 x E5320 непорядок становится заметен ближе к сотне (учитывая, что ломятся в контейнеры).