1. сменить порт ssh? 2. fail2ban

1. Перевесить на другой порт
2. Поставить что-то типа Denyhosts или Fail2Ban

синхронно однакось :)

Спасибо, попробую fail2ban вроде в нем нормальные настройки посмотрим ка ведет себя в бою.

кину еще 5 копеек - авторизацию по ключу не пробовали ?

Нет. Не катит.

Сделать только по ключу или по IP тоже не вариант, так как бывает нужно приконнектиться из неизвестного места и что-нибудь перекрутить.

ну тода fail2ban спасет отца русской демократии :)

>Сделать только по ключу ... тоже не вариант, так как бывает нужно приконнектиться из неизвестного места и что-нибудь перекрутить.

Не вижу причин игнорировать авторизацию по ключам.
Что мешает носить ключи с собой? Закрытый ключ могут стырить? Ну и пусть подавятся — правильный ключ всегда сопровождается запросом пароля и регулярно меняется.
Одним же махом тогда все попытки брута теряют смысл. Даже закрывать sshd по IP при этом не обязательно, достаточно пересадить его на левый порт.
Главное — не совсем древние openssh/openssl держать на сервере.

анон сделал так - повесил второй ссш на другой порт, и добавил правила:

$iptables -A INPUT -i ${wan_iface} -p tcp --dport 22 -m state --state ${states[0]} -m recent --set --name SSH
$iptables -A INPUT -i ${wan_iface} -p tcp --dport 22 -m state --state ${states[0]} -m recent --update --seconds 360 --hitcount 2 --rttl --name SSH -j DROP#не более 2 коннектов в 360 сек на порт
$iptables -A INPUT -i ${wan_iface} -p tcp --dport 22 -j ACCEPT #позволим коннектиться снаружи по 22 tcp
$iptables -A INPUT -i ${wan_iface} -p tcp --dport 9876 -j ACCEPT ## ssh2 наружу

переменные states=( NEW ESTABLISHED RELATED ) из отсюда если чо

Эх, надо когда-нибудь все-таки собраться и написать для таких случаев пакет «трололо-ос». Чтобы этих ломателей запускать в что-то типа виртуальной машины, а дальше начинать веселиццо.

Типа файлы с номерами кредиток им там, секретные базы данных. если будут пытаться ботнетовый софт залить и запустить, искусственно вызывать крэши в случайных местах, или там «libastral.so.1.4.5 version mismatch», или еще что...

и пусть хакають наздоровье...

> Эх, надо когда-нибудь все-таки собраться и написать для таких случаев

зачем писать, всё украдено до нас http://en.wikipedia.org/wiki/Honeypot_(computing)

Предлагаешь Болгенос в качестве honeypot'а?
Теоретически, есть способ интересней — перенаправлять обратно на атакующего его же запросы. Не сразу и догадаешься, что видишь собственный хост. Выгода способа в том, что не нужно ничего эмулировать/виртуалить.

> зачем писать, всё украдено до нас http://en.wikipedia.org/wiki/Honeypot_(computing)

apt-get install что?

развлекать ботнеты? лол. некоторые боты еще тупее вас, джентльмены.

apt-get install что?

в гугле забанили?

# apt-cache show honeyd
Package: honeyd
Priority: optional
Section: universe/net
Installed-Size: 1700
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Javier Fernandez-Sanguino Pen~a <jfs@debian.org>
Architecture: amd64
Version: 1.5c-7build1
Depends: adduser (>= 3.52), libc6 (>= 2.4), libdumbnet1, libevent-1.4-2 (>= 1.4.11-stable), libncurses5 (>= 5.6+20071006-3), libpcap0.8 (>= 1.0.0-1), libreadline5 (>= 5.2), zlib1g (>= 1:1.1.4), python (>= 2.3), python-support (>= 0.90.0)
Recommends: farpd, honeyd-common, rrdtool
Suggests: iisemulator
Filename: pool/universe/h/honeyd/honeyd_1.5c-7build1_amd64.deb
Size: 437068
MD5sum: c833e9cc87afb10633565498c9db7a25
SHA1: a79f0a52b5a6425f3b48903ca3cdb14896ee2b8e
SHA256: b07073066fbae9a8449678ee7a9d1dfd1df2e602bec9235da78c6142645748c3
Description: Small daemon that creates virtual hosts simulating their services and behaviour
 Honeyd is a small daemon that creates virtual hosts on a network. The
 hosts can be configured to run arbitrary services, and their TCP
 personality can be adapted so that they appear to be running certain
 versions of operating systems. Honeyd enables a single host to claim
 multiple addresses on a LAN for network simulation. It is possible to ping
 the virtual machines, or to traceroute them. Any type of service on the
 virtual machine can be simulated according to a simple configuration file.
 Instead of simulating a service, it is also possible to proxy it to
 another machine.
 .
 Features:
     * Simulates thousands of virtual hosts at the same time.
     * Configuration of arbitrary services via simple configuration file:
        o Includes proxy connects.
     * Simulates operating systems at TCP/IP stack level:
        o Fools nmap and xprobe,
        o Adjustable fragment reassembly policy,
        o Adjustable FIN-scan policy.
     * Simulation of arbitrary routing topologies:
       o Configurable latency and packet loss.
Homepage: http://www.honeyd.org
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu

#

ух ты, прикольно. посмотрю, спасибо!

Смена ипорта, fail2ban, knockd, всё советовали? Не подходит? Не боишься полиции? Молод и амбициозен? Хватай metasploit и nmap, бери ситуацию в свои руки!

В свое время столкнулся с такой же проблемой - решил отключением ssh для внешнего мира и поставил OpenVPN с авторизацией по сертификатам. Вообще-то VPN мне для других целей был нужен, но проблему брута по ссш я снял. Опять же, думаю можно на ssh тоже только по сертификатам ходить.

Расслабься. Fail2ban будет достаточно. У меня на некоторых ip после поднятия новой ОС в логах за 2-3 минуты скапливается по 20 сообщений о попытке авторизации от кетайских ботов.

TARPIT

Когда, то читал про неплохую такую штуку. Вроде неплохо. На практике руки не дошли. Перевес ssh на нестандартный порт и fail2ban решили проблему раз и навсегда

кроме вышеперечисленного - sshguard

fail2ban|max_authtries в /etc/ssh/sshd_config

а вапще - нахрен выключай пароли и пользуйся ТОЛЬКО ssh ключами. проблема решится автоматически и пусть хоть обрутяться

Oct 23 19:03:31 GATE sshd[25275]: input_userauth_request: invalid user jb

http://code.google.com/p/kippo/

коль не нравтся змея
есть охранници на сях (sshguard)