Это старая версия документа.
Всегда есть ненулевая вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором.
Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом - см. Полный перебор) есть удачное и изящное решение - fail2ban. Этот пакет есть в репозиториях, и базовая установка очень проста:
sudo apt-get install fail2ban
В состоянии сразу после установки (во всяком случае, в 10.04) защита от брутфорса по SSH включена.
Основная идея - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд).
Параметры можно посмотреть и поменять в файле /etc/fail2ban/jail.conf
. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории /etc/fail2ban/filter.d/
(можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории /etc/fail2ban/action.d/
Все файлы довольно хорошо откомментированы.
Ссылки
- fail2ban - защита от брутфорса — эта статья на форуме