Выбрать порт

Port knocking?

fail2ban с достаточно большим периодом блокировки (дефолтных 10 минут мало для нынешних дятлов, надо хотя бы час) — и пусть долбятся. Опционально добавлять обнаруженных дятлов в TARPIT.

Допустим, это просто ssh … чтобы дятлы меньше долбились

Если SSH, то любой отличный от 22 и других общеизвестных сервисов, по которым долбятся всякие сканеры портов и просто студенты. Желательно - номер без нулей на конце. Это кардинально уменьшает число «дятлов» ))

Ты прям всё делаешь не так.

Для ssh выставить publickey, для того что умеет только пароли — выставить задержку между попытками подольше. fail2ban’ом отсекать особо упорных.

 # pfctl -t blacklist_auto -T show | wc -l
     957
 # pfctl -t blacklist_managed -T show | wc -l
    1357

Есть еще экзотика типа sslh, позволяющая повесить на 443 порт https, ssh и еще чего-нибудь.

Вопрос в том, какой выбрать порт, чтобы дятлы меньше долбились:

Дятлы все равно будут долбиться, ИМХО на то они и дятлы, надо смириться и успокоиться, выбрав для себя какой то вариант.

У меня SSH который работает с publickey + парольная фраза. Дятлам по фигу они даже не понимают, что пароли просто не работают, много лет я вообще ничего не делал, долбятся и долбятся мне не жалко.

Потом попал под воздейсвие секты «надо перевесить с 22….» перевесил на 42222, нашли и долбились ни сколько не меньше.

Но прогрес не стоит на месте потом стало кузяво использовать fail2ban, поставил его, тольку не добавилось просто стал задействовать еще и фаер, сктати часа мало там и 8 часов и суток будет маловата (чисто мое мнение) некоторые повторяют и через пару тройку суток ( этож не человек). Вот погляди скока их за решеткой томится ;-)

 fail2ban-client banned
[{'sshd': ['63.41.174.20', '134.209.237.254', '38.9.136.251', '187.50.178.142', '85.152.57.60', '64.135.37.202', '36.108.175.101', '118.70.126.155', '20.127.170.139', '65.20.141.59', '183.196.117.74', '94.131.211.168', '58.228.105.192', '192.72.6.151', '222.128.171.63', '103.188.232.10', '119.93.124.158', '43.130.26.150', '143.198.164.196', '122.175.34.207', '183.56.158.242', '165.227.166.247', '58.33.58.37', '150.139.200.68', '43.153.74.20', '164.92.80.209', '138.219.166.59', '43.134.23.25', '109.117.33.132', '43.159.51.222', '24.247.249.47', '176.65.63.90', '112.199.138.253', '182.75.197.174', '212.47.226.70', '124.222.59.221', '200.149.225.86', '95.57.207.165', '156.194.207.234', '58.22.132.50', '65.20.215.42', '177.215.136.46', '142.132.236.25', '115.23.23.91', '27.72.41.165', '69.243.138.199', '189.51.96.148', '45.129.14.79', '83.12.113.122', '35.222.242.33', '220.246.36.42', '76.169.36.73', '191.217.137.126', '36.156.145.28', '116.131.53.14', '122.226.186.251', '103.157.115.90', '186.215.107.189', '14.251.235.118', '51.75.142.157', '221.156.126.1', '103.121.19.171', '221.151.168.237', '37.255.240.75', '103.157.126.122', '103.99.111.118', '183.66.212.94', '168.194.38.248', '207.166.132.157', '5.29.135.63', '39.109.115.143', '179.63.55.181', '190.60.33.229', '105.73.203.175', '103.146.159.111', '43.227.66.89', '183.179.126.61', '124.106.227.230', '101.173.101.187', '222.223.187.146', '222.126.100.66', '185.47.48.74', '43.155.137.204', '221.213.201.190', '46.28.24.130', '113.31.114.208', '51.174.188.249', '41.175.210.83', '42.112.21.207', '185.243.181.158', '43.138.16.187', '159.65.149.50', '123.3.156.103', '123.138.101.106', '201.59.56.178', '187.107.127.37', '101.99.75.110', '103.125.161.93', '197.255.198.172', '36.103.241.107', '112.83.46.6', '103.115.254.86', '129.126.207.252', '223.240.84.189', '121.202.150.30', '84.15.236.89', '211.199.108.198', '185.11.61.234', '186.200.111.62', '85.209.11.226', '140.186.25.24', '117.107.135.197', '200.125.178.32', '122.96.63.50', '195.96.137.9', '196.12.146.210', '79.137.198.143', '51.250.15.147', '177.142.152.242', '94.204.118.63', '68.174.46.227', '213.55.85.202', '102.182.131.163', '122.4.70.58', '110.175.220.250', '186.179.100.229', '86.17.208.207', '201.172.109.153', '200.165.106.86', '36.89.114.129', '177.107.172.118', '111.70.14.63', '175.101.150.15', '158.220.92.164', '122.0.26.154', '70.173.248.15', '92.68.206.76', '111.70.29.157', '71.80.107.82', '73.2.234.236', '36.89.156.215', '197.237.243.107', '65.49.1.101', '153.36.242.38', '217.209.68.53', '80.51.121.72', '183.82.146.5', '175.198.108.244', '181.122.123.28', '202.165.16.209', '138.75.224.35', '31.132.6.154', '59.50.85.74', '123.51.229.128', '41.207.248.204', '210.19.112.202', '103.194.243.187', '78.189.209.162', '183.221.243.20', '102.213.205.113', '124.89.116.178', '162.223.91.6', '61.156.14.71', '94.206.49.146', '44.207.80.20', '60.241.154.156', '187.8.105.142', '45.115.115.158', '194.4.41.145', '103.175.8.200', '183.109.148.44', '36.105.172.57', '164.92.126.218', '218.29.61.124', '5.30.235.44', '14.143.150.66', '217.117.146.52']}]

те я попробовал все, и на мой взгляд ключ с парольной фразой было достаточно, за 23 года так ни один дятел и не проломился, ну правда я не знаю ккой ты сервис хочешь высунуть наружу.

Какие ещё есть варианты?

Если у сервера и всех потенциальных клиентов есть ipv6, то можно только на ipv6 адресе порт открыть. Даже на 22 порту будет звенящая тишина.

Для ssh у меня уже стоит fail2ban, и в логин по ключам. Я за ssh не беспокоюсь. Сейчас, кстати, посмотрел его лог и решил увеличить время бана на один день.

А другой порт, который надо выставить, на самом деле форвордится на виндовую машину (не мою), и тут традиционными способами остановить дятлов не особо получается. На виндовой машине вижу, что они нагло пытаюстся подобрать пароль, гады. Сейчас пока переназначил этот порт на редко используемый. Буду ждать через какое время и этот порт просканируют и определят, что на нём висит. А пока буду копать в сторону port knocking.

На счёт ipv6 у меня смешанные чувства. По моему опыту, с ipv6 чаще возникают проблемы, и его проще вообще отрубить. Я вообще никогда не логинился по ssh через ipv6. Вот например, в чём здесь проблема (ipv6 адрес получен из выхлопа команды ip a).

$ ssh -6 abcd::1234:999f:22da:eefa -vvv
...
debug2: resolving "abcd::1234:999f:22da:eefa" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to abcd::1234:999f:22da:eefa [abcd::1234:999f:22da:eefa] port 22.
debug1: connect to address abcd::1234:999f:22da:eefa port 22: Invalid argument

Можно выбрать левый порт

И заодно пропатчить openssh на тему выпилить строку о версии которая выдается плэйном при подключении. Имхо будет ещё лучше. Да, открыт левый порт, но неизвестно кого и чем долбить. Но это так, пальцем небо отвечая только на ваш вопрос.
По делу, вам уже ответили в первых двух постах.

решил увеличить время бана на один день.

Во! какой там час или день там сутками можно банить, но толку чуть.

Отличные советы в плане защиты сервиса, но ТС спрашивал

Вопрос в том, какой выбрать порт, чтобы дятлы меньше долбились

В этом случае гораздо больше пользы принесет ограничение по стране запроса. Отрезать тот же китай если не работаете с ним

какой выбрать порт, чтобы дятлы меньше долбились

В этом отношении все порты равнозначны. </thread>

долбятся и на отличные.

ты локально идёшь?

Во! какой там час или день там сутками можно банить, но толку чуть.

Так и есть, только пожизненный.

поставь просто случайный порт

Тут как-бы три варианта:

1. любой порт в диапазоне 1024-65535
2. порт в эфемерном диапазоне 49152-65535
3. порт, у которого нет официального предназначения (например, по этому списку: https://ipinfo.info/html/tcp-ip-ports.php)

Пробовал локально и нелокально. В чём здесь разница?

Вариант всегда один

у меня просто ощущение, что тут какой косяк с адресацией.
но вглядываться неокгда