Что делать с ботами, ломящимися на SSH?

Bird_V

Собственно субж. Fail2ban каждый день пару-тройку ботов (или просто младохакеров) блокирует на уровне firewall-а. Вопрос: чего ещё можно сделать (например - накатать куда-то жалобу, что с такого-то IP была попытка взлома)? Или проще забить, и пусть сидят себе в бане? Вход на сервер всё равно только по ключу....

procenkotanya

можно сервер на нестандартный порт перевесить, тогда совсем ломиться не будут
ещё port-knocking есть, но это сложновато

Bird_V

Да мне не жалко, пусть ломятся (если я правильно понимаю, то на данном этапе развития техники вход по ключу достаточно безопасен - ключ подобрать намного сложнее, чем даже длинный пароль)

vall

теоретически перевесив ssh на другой порт ты немного повысишь шанс достучатся до него если кто-то туда интенсивно долбится, но на практике если кто-то захочет то она раньше задосит всю машину. так что живи и не парься.
ну ещё можно так сэкономить на трафике и cpu если он считается.

Bird_V

Это рабочий комп, там CPU Time никто не считает. Да и трафик тоже (ну разве что за неделю пара-тройка Тб набежит - тогда могут сетевики проснуться и вежливо вопросить - а не объелся ли я ухи?). Кстати, а существует ли в природе что-то типа глобального блеклиста адресов?

vall

Кстати, а существует ли в природе что-то типа глобального блеклиста адресов?

если бы и был его б быстро задосили

hoha32

существует ли в природе что-то типа глобального блеклиста адресов?

только для тех адресов что спамят на мыло
а тебя клюют зомбифицированные компы, скорее всего, владельцы даже не подозревают

hiper-hoper

есть ещё denyhosts, скорее всего твои боты в их базе уже давно перечислены.

pirat

скрипт напиши на серваке, который будет при каждом посещении выдавать что-то вроде "вы заблокированы, для разблокирования пошлите СМС со словом ... на номер .... , чем больше смс вы отправите, тем выше вероятность что войдете"