Разумеется, зависит от метода и типа «взлома». Если протокол SSH-2, то хэш самого пароля (на текущий момент) злоумышленнику не получить, а это > удаленный перебор. Подели на скорость соединения и кол-во одновременных попыток ~= никогда.
Если можно вытянуть хэш, то 9 символов ASCII ~3 часа на нормальной GPU.
-A INPUT -m recent --update --seconds 60 --rsource -j DROP
-A INPUT -m recent --set --rsource
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
в iptables, MaxAuthTries 1 в sshd_config и вероятность что пароль подберут сильно уменьшается
в этом случае при неуспешном введении пароля (установке соединения) адрес попадает в бан на 60 секунд, и продлевает его при последующих попытках подключиться
Не любая конфигурация допускает ключи. Есть реальные жизненные ситуации (скриптовая обработка мини-сервера со старого телефона), когда возможен только пароль.
MaxAuthTries 1 в sshd_config и вероятность что пароль подберут сильно уменьшается
в этом случае при неуспешном введении пароля (установке соединения) адрес попадает в бан на 60 секунд, и продлевает его при последующих попытках подключиться
В этом случае очень увеличивается вероятность, что ты сам по ssh не нормально не зайдешь
VVL-
Не любая конфигурация допускает ключи. Есть реальные жизненные ситуации (скриптовая обработка мини-сервера со старого телефона), когда возможен только пароль.
Тут сам себе придумываешь проблемы/задачи, и кое-как решаешь. Даже dropbear умеет в ключи, c 2fa да, там посложней, и как правило не очень нужно
на дефоултной ubuntu для root для пароля из 9 символов (_цифры и буквы в разных регистрах). пароль не словарный
pasSw0rd8
Да легко подберут, пароль как раз пока я его не написал был не словарный и под твое описание подходит
В голове мусор хранить не нужно, для этого есть коплюктеры. Вот потому то у вас телефоны и старые, что голова мусором забита и нормально зарабатывать не может.
Ну это нормально, хотя бы я бы десять хотя-бы оставил. 3-4 раза вполне можно ошибиться. Меня правда чаще fail2ban/sshguard уносил по времени, пока 2fa не исправили нормально работу сразу с несколькими серверами в pam модуле.
если не из словаря, то брутфорсом по сети не реально. каждая попытка даёт 100-200 байт в логи. 100 попыток в секунду - относительно низкая скорость для перебора даст 1.5-2гб лога в сутки - наверняка администратор такое заметит.
а боты через китайские прокси подбирают с легкостью словарные популярные пароли.
Cледует ли считать все пароли длины <n скомпрометированными в случае выкладывания в сети полного набора печатных ascii комбинаций, или это действие наоборот, обнуляет факт компрометации всех паролей сразу?
Интересно, вероятность чего выше — успешного брутфорса нормального пароля или того, что участник ботнета окажется с тем же IP, что и владелец сервера (например, если интернет через мобильник)?
Нормальный случайный пароль ботнет будет подбирать до тепловой смерти вселенной. А хозяина сервера fail2ban быстро забанит, если кусок брутфорсящего ботнета случайно окажется на одном IP с ним.