Казалось бы, ставь fail2ban для защиты системы и из коробки получай стандартную защиту SSH от брутфорса с уже настроенным по дефолту jail правилом в несколько попыток. Но не всё так просто. А что будет, если служба fail2ban остановится? А если остановится служба записи логов rsyslog? Вот как раз такой случай:
На сервере пол года назад полностью прекратилась запись ряда системных логов(из-за какого-то сбоя) и остановилась защита сервера. Не работали службы rsyslog и fail2ban.
А ведь именно на логах основана вся система защиты от брута, в частности тот же fail2ban мониторит IP неудачно подключившихся клиентов из системного лог файла /var/log/auth.log и лишь находя там настроенное количество совпадений неудачных авторизаций заносит в свою базу и отправляет клиента в фильтр iptables, закрывая ему доступ к сети на порт защищаемого сервиса.
Вот такие строчки он находит в auth.log:
Jun 8 07:46:37 serverhost sshd[9907]: Failed password for root from 255.255.255.244 port 57663 ssh2
Если за крайний период в 5 минут он находит в логе 5 таких попыток, то тогда отправит этого клиента в бан iptables на 5 минут.То есть полностью режет, айпишнику даже в соединении на порт будет отказано, брутфорс не пройдёт. Им разные сервисы можно вообще защищать, не только ssh, но защита ssh из коробки идёт с панелькой сразу при установке сервера, там fail2ban установлен уже обычно. Периоды, количество совпадений это всё конфигами настроивается.
И вот если в логах не будет ничего писаться, fail2ban ничего не найдёт соответственно, а значит можно брутить тот же ssh абсолютно безнаказанно и сколько угодно.
Не говоря уже о том, что логи — это глаза и уши системы, и случись чего — любой системный админ лезет именно туда за причинами.
Хорошо, что ssh был на не стандартном порту, а то бы уже брутили пол года.
Когда хакерский бот(а они мониторят и пробуют подключаться везде) не получит от ворот поворот после нескольких попыток, то значит уже можно такой сервер поставить на брут с большей частотой перебора паролей. Взломать конечно, перебором хороший пароль, это ещё большой вопрос, если он нигде не засвечен, несколько лет может понадобиться. Но нагрузка от массы лишних соединений будет(флуд), пока бот не переберет там свою базу паролей. Обычно боты лезут соединяться на 22 стандартный порт ssh, поэтому его и следует обязательно менять на не стандартный при установке системы.