и мой пароль -- длинный, то он его не подберет за N, пусть будет 5, лет.
то -- стоит ли мне что-то сам факт того, что он его брутфорсит? например, тратятся ли ресурсы моего сервера? особенно если таких ботов, например, 10, и они перебирают пароли каждый в своем диапазоне.

Здравствуйте, sin_cos, Вы писали:

_>и мой пароль -- длинный, то он его не подберет за N, пусть будет 5, лет.
_>то -- стоит ли мне что-то сам факт того, что он его брутфорсит? например, тратятся ли ресурсы моего сервера? особенно если таких ботов, например, 10, и они перебирают пароли каждый в своем диапазоне.
fail2ban поставь

Здравствуйте, kov_serg, Вы писали:

_>Здравствуйте, sin_cos, Вы писали:

_>>и мой пароль -- длинный, то он его не подберет за N, пусть будет 5, лет.
_>>то -- стоит ли мне что-то сам факт того, что он его брутфорсит? например, тратятся ли ресурсы моего сервера? особенно если таких ботов, например, 10, и они перебирают пароли каждый в своем диапазоне.
_>fail2ban поставь

перечитай вопрос

Здравствуйте, sin_cos, Вы писали:

s> и мой пароль -- длинный, то он его не подберет за N, пусть будет 5, лет.
s> то -- стоит ли мне что-то сам факт того, что он его брутфорсит? например, тратятся ли ресурсы моего сервера? особенно если таких ботов, например, 10, и они перебирают пароли каждый в своем диапазоне.

Ресурсы тратятся, но ничтожно мало. Особо беспокоиться (а уж тем более ставить "вредоносное" ПО типа fail2ban) не стоит.

P.S. Тем не менее, в современном мире хождение ssh по паролю (вместо ключей) является очень плохой практикой.

Здравствуйте, Anton Batenev, Вы писали:

AB>P.S. Тем не менее, в современном мире хождение ssh по паролю (вместо ключей) является очень плохой практикой.

А что такого плохого (если пароль нормальный)? Кейлоггеры? Ну они и ключи могут украсть)
Ключи же удобны если всегда с одной и той же системы заходишь...

Здравствуйте, sin_cos, Вы писали:

_>и мой пароль -- длинный, то он его не подберет за N, пусть будет 5, лет.
_>то -- стоит ли мне что-то сам факт того, что он его брутфорсит? например, тратятся ли ресурсы моего сервера? особенно если таких ботов, например, 10, и они перебирают пароли каждый в своем диапазоне.

Я бы забанил IP с какого сидит бот. Ресурсы тратятся, но незначительные. Пока их меньше нескольких тысяч можно не заморачиваться.

Здравствуйте, Михaил, Вы писали:

М> AB>P.S. Тем не менее, в современном мире хождение ssh по паролю (вместо ключей) является очень плохой практикой.
М> А что такого плохого (если пароль нормальный)? Кейлоггеры? Ну они и ключи могут украсть)

"Нормальный пароль" достаточно растяжимое понятие в то время как ключ достаточно конкретное и стойкость ключа обычно выше пароля (который, к тому же, чаще всего ограничен по эффективной длине). Приватный ключ (в отличии от пароля) не передается на удаленную машину (по почтам, скайпам, телеграмам и прочему непотребству). Приватный ключ может иметь дополнительную защиту (в виде того же пароля, например). Это то, что сходу вспомнилось.

Ну и при количестве серверов >1 аутентификация по паролям становится просто неэффективной.

М> Ключи же удобны если всегда с одной и той же системы заходишь...

Совершенно не обязательно (начиная от копий ключей до аппаратных токенов).

Здравствуйте, Anton Batenev, Вы писали:


AB>...(а уж тем более ставить "вредоносное" ПО типа fail2ban) не стоит.
почему fail2ban "вредоносное" ПО?

Здравствуйте, #John, Вы писали:

J> AB>...(а уж тем более ставить "вредоносное" ПО типа fail2ban) не стоит.
J> почему fail2ban "вредоносное" ПО?

Оно больше приносит вреда нежели пользы. Например, возможность забанить самого себя в самый ответственный момент — самая его бесценная фитча. Дает ложное чувство защищенности (ПО или не должно смотреть голой попой в дикий интернет или быть настроено так, чтобы fail2ban был лишен смысла). На свою работу тратит ресурсов наверное больше, нежели неудачные попытки принести вред (здесь не замерял, но предполагаю). С распространением IPv6 (для которого неплохо растет) все будет еще печальнее.

Здравствуйте, sin_cos, Вы писали:

_>и мой пароль -- длинный, то он его не подберет за N, пусть будет 5, лет.
_>то -- стоит ли мне что-то сам факт того, что он его брутфорсит? например, тратятся ли ресурсы моего сервера? особенно если таких ботов, например, 10, и они перебирают пароли каждый в своем диапазоне.

Лучше сменить порт на ssh — отсекает абсолютное большинство ботов. Это нужно сделать, т.к. помимо подбора пароля от рута, есть другие угрозы. К примеру, свежий эксплойт или нечаянное заведение в системе нового юзера со слабым паролем. Кстати, второе — это еще один довод в пользу ключей, при отключенной парольной аутентификации в систему смогут зайти только те пользователи, которым явно разрешили вход.

Если интересует повышенная безопасность, в sshd легко интегрируется TOTP.

Здравствуйте, BlackEric, Вы писали:

BE>Я бы забанил IP с какого сидит бот. Ресурсы тратятся, но незначительные. Пока их меньше нескольких тысяч можно не заморачиваться.

Товарищ майор, Вы зачем в форум пишете?

А если серьёзно, то "бан по ip" уже продемонстрировал свою беспощадную полезность на примере одного надзорного ведомства, когда банились ноды из публичных клаудов, на которых сегодня Петя, завтра Вася, а послезавтра — оба сразу. И вроде всего один айпишник забанили — а получили оружие массового поражения.

Здравствуйте, Mr.Delphist, Вы писали:

BE>>Я бы забанил IP с какого сидит бот. Ресурсы тратятся, но незначительные. Пока их меньше нескольких тысяч можно не заморачиваться.

MD>Товарищ майор, Вы зачем в форум пишете?

MD>А если серьёзно, то "бан по ip" уже продемонстрировал свою беспощадную полезность на примере одного надзорного ведомства, когда банились ноды из публичных клаудов, на которых сегодня Петя, завтра Вася, а послезавтра — оба сразу. И вроде всего один айпишник забанили — а получили оружие массового поражения.

здесь несколько другой случай, не находишь?