Дмитрий: очень странно, но я писал по памяти, мог и ошибиться. Вообще, что бы сделать быстро можете использовать AllowUsers marrk2@8.8.8.8, в sshd_config, если мне память не изменяет, но лучше разберитесь с iptables, там все будет тупо
разрешаем на вход по 22 порту по протоколу tcp с вашего IP, дропаем все остальное.
соответственно при таких правилах будет только ssh и только с вашего IP.
Для других портов можете прописать другие разрешения
Разрешит еще заход на 80ый порт по tcp для всех(вдруг у вас там веб-сервер).
Обратите внимание, что сначала надо разрешающие правила писать, потом последним делать DROP
Почитайте доки по IPTABLES, там увидите, что при -I можно указывать каким правилом вставлять, то есть если сделать вот те которые я предложил, а потом надо еще добавить вход для ftp, то пишите -I INPUT 3 и оно пойдет третьим правилом.
Дмитрий: в sshd_config. Но я не вижу смысла менять порт. Собственно я и ограничения по IPшнику не считаю нужными.
1. Запрет парольного входа, вход только по ключу
2. fail2ban для тех кто трижды не смог зайти
Тем самым вы спокойны по поводу брутфорса и лишней долбежке от ботов не будет, после третьего раза их fail2ban отправит курить.
Эргил Осин: а как сделать вход по ключу? (можно ссылку или намекнуть) да говорят сейчас ботнеты подбирают - 2 попытки и меняют ip так что fail2ban не всегда срабатывает...
Дмитрий: если не установлены, то доставьте. iptables можно указывать по портам откуда пускать. Так что хотите сделаете только для 22, хотите еще или для 20:21.
Сергей: да я читал про них бегло, что для защиты от DDOS например применяются, ну пока вот у меня конкретная задача я с трудом понимаю для чего их смогу ещё применить, т.к. пока не заработало то буду с ними пробовать наверное...
Дмитрий: эту вашу конкретную задачу решает конкретно файерволл, остальное от лукавого. iptables от ddos - это как мёртвому припарка, он просто ляжет вместе со всей ОС, особенно без ipset. От DDOS куда серьёзнее вещи нужны.
Дмитрий: потому что ssh позволяет не только загружать и удалять файлы. В случае подбора пароля на бездумно открытого рута, ваш сервер весело присоединяется к компании ботнетов и начинает творить непотребства, рассылать спам и играть в блекджек. Однако, как тут уже говорили, поломать ключ - крайне сложная задача, на пару сотен лет брутфорса, если не больше. Проще использовать уязвимости, которых в ssh всё меньше и меньше. Потому ставьте авторизацию по ключу, закрывайте файерволлом с безусловным дропом пакетов, и спите спокойно.