Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: kranken - 12.02.07 - klo:16.12

Otsikko: SSH:n murtosuojaus
Kirjoitti: kranken - 12.02.07 - klo:16.12
Eilen iltapäivällä huomasin taas nettiliikennevalon säännöllisestä vilkkumisesta, että joku kolkuttelee taas koneellani pyörivää SSH serveriä. Tarkisin Wiresharkilla liikenteen ja todellakin joku kävi satunnaisia käyttäjätunnus salasana yhdistelmiä läpi. IP osoite viittasi taas jonnekkin Venäjäjälle. Lisäsin IP:n palomuurin estolistalle.

Tämän kaltaisia hyökkäyksiä tulee muutama kappale päivässä ja tunnuksia käydään läpi muutama sata per hyökkäys. Sinänsä omat tunnukset on tehty hyvin, eli kyseisen kaltaisilla hyökkäyksillä ei koneelleni päästä, mutta kyllähän tuo vähän harmittaa.

Joskus kävin openSSH:n dokumentaation läpi etsien optiota, jolla voisi rajoittaa samasta IP:stä tulevien peräkkäisten kirjautumisyritysten määrän vaikka viiteen, mutta en löytänyt. Jollain sopivalla shell skriptillä ja iptablesilla voisi varmaankin tehdä tällaisen ominaisuuden..? Ideoita?
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: JJK - 12.02.07 - klo:16.43
Fail2ban on se mitä haet.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Jozzi - 14.02.07 - klo:06.41
itse olen käyttänyt DenyHosts:ia tuohon
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: mgronber - 14.02.07 - klo:10.52
itse olen käyttänyt DenyHosts:ia tuohon

Fail2ban löytyy pakettivarastoista, tuota ei taida löytyä.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Nakkis - 14.02.07 - klo:12.37
Hyvä vaihtoehto on myös laittaa sshd kuuntelemaan jotain muuta porttia, kuin 22.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: janne - 14.02.07 - klo:18.25
Hyvä vaihtoehto on myös laittaa sshd kuuntelemaan jotain muuta porttia, kuin 22.

no toimiva se varmaan on, mutta en minä sitä mitenkään erityisen hyvänä pidä. itse olen konffannut koneen käyttämään public key autentikointia ja unohtanut koko jutun.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Nakkis - 15.02.07 - klo:01.46
Hyvä vaihtoehto on myös laittaa sshd kuuntelemaan jotain muuta porttia, kuin 22.

no toimiva se varmaan on, mutta en minä sitä mitenkään erityisen hyvänä pidä. itse olen konffannut koneen käyttämään public key autentikointia ja unohtanut koko jutun.
Jeps, itse en vain ole tuota public key hommaa jaksanut säätä, kun ei sitä avaintakaan varmasti aina ole mukana ja palveluntarjoaja blokkaa muutenkin kaikki portit 1024:n asti.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: T.M - 15.02.07 - klo:08.38
Tässä on mitä minä tein:

-Root login kielletty
-Vaihdoin sshd:n kuuntelemaan eri porttia
-Sallittu kirjautuminen ssh:lla vain yhdellä tunnuksella
-Palomuurista sallittu kirjautumiset vain tietyistä ip-avaruuksista
-www-palvelimen logeista luetaan cron:lla tiettyä koodia joka avaa koodin syöttäneelle ip:lle palomuurissa aukon tuolle sshd-portille jos satun olemaan koneella joka ei kuulu palomuurista sallittuihin ip-avaruuksiin.

Tuon viimeisimmän virityksen hyöty voi olla kyseenalainen. Taitaa olla todenäköisempää että www-palvelimessa on jokin remote-exploitti kuin sshd:ssa. Mutta pidetään nyt mielenrauhan vuoksi käytössä.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Squirrel - 15.02.07 - klo:14.04
Portin vaihtaminen on aika hyödytöntä, kun ssh portin saa selville skannaamisella.

Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: janne - 15.02.07 - klo:18.40
-Root login kielletty

tuohan on oletuksenakin noin ja lisäksi ubuntussa on root tili muutenkin diabloitu, joten roottina ei pystyisi loggaamaan vaikka se olisi sallittuakin :) mutta tietty onhan tuo ihan oikeasti hyvä tarkistaa, että se tosiaan on noin.

Portin vaihtaminen on aika hyödytöntä, kun ssh portin saa selville skannaamisella.

pitää paikkansa, mutta ainakaan automatisoidut hyökkäykset (madot, ym.) eivät tunnu ainakaan juuri tällä hetkellä juurikaan portteja skannailevan vaan yrittävät kiltisti oletusporttia. sinänsä mikään ei takaa etteikö tuo muuttuisi vaikka heti huomenna, mutta toisaalta porttiskannaus on myös mahdollista tunnistaa ja se on lähes poikkeuksetta hämärähommaa toisin kuin loggausyritys.

no, kuitenkin minusta portin vaihtaminen on vaan väärin eikä lainkaan tarpeellista.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: T.M - 16.02.07 - klo:08.49
Miksi portin vaihtaminen olisi väärin ?

"Skripti-nyypiöiden" jujutus onnistuu noin helposti eikä tarvitse sitten lähetellä ubuntu-foorumeille viestejä jossa ihmetellään esim. auth.log:eja :)

Porttiskannauksen teko randomina pitkin verkkoja on huomattavasti rankempaa puuhaa kuin oletusportin koputtelu. Voisi kuvitella että siinä voi pahimmassa tapauksessa aiheutua vaikka ikäviä seurauksia.

Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: velvetGreen - 16.02.07 - klo:13.05
Porttiskannauksen teko randomina pitkin verkkoja on huomattavasti rankempaa puuhaa kuin oletusportin koputtelu. Voisi kuvitella että siinä voi pahimmassa tapauksessa tällaisesta toiminnasta voi aiheutua vaikka seurauksia.

Näin on. (http://www.finlex.fi/fi/oikeus/kko/kko/2003/20030036)
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: janne - 17.02.07 - klo:01.15
Miksi portin vaihtaminen olisi väärin ?

miksi ylipäätään sopia mistään? portti 22 nyt sattuu olemaan varattu ssh:lle ja ssh-palvelin (vain) jossain toisessa portissa jättää tämän kätevästi huomiotta.

käytännössä tuo portin vaihtaminen ei oikeasti tee palvelinta yhtään sen turvallisemmaksi, vaan ainoastaa siivoaa logeja hetkellisesti. portti jossa palvelinta ajetaan paljastuuu kyllä ajan myötä eikä palvelin ole tällöin yhtään sen turvallisempi. toisaalta miksi konffata palvelintaan oikeasti turvallisesti kun voi hiemna pienemmällä vaivalla työntää päänsä pensaaseen ja kuvitella olevansa turvassa.

sitä paitsi mitä useammalla koneella palveluiden portit ovat mitä sattuu, niin sitä tovennäköisemmäksi porttiskannauksetkin käyvät.

"Skripti-nyypiöiden" jujutus onnistuu noin helposti eikä tarvitse sitten lähetellä ubuntu-foorumeille viestejä jossa ihmetellään esim. auth.log:eja :)

skriptinyypiö käyttää tietysti scriptiä joka selvittää sen portin. oikeasti kuitenkin valtaosa hyökkäyksistä on matojen/zombiverkkojen suorittamia ja sillä ei ole mitään tekemistä nyypiöiden kanssa, päin vastoin.

ja mitä logeihin tulee, niin niitä ihmetellään joka tapauksessa.

Porttiskannauksen teko randomina pitkin verkkoja on huomattavasti rankempaa puuhaa kuin oletusportin koputtelu.

on varmasti rankempaa, mutta hyökkäyksen suorittaja ei luultavasti ole niin tyhmä, että käyttäisi hommaan oman koneensa resursseja. jos tuhannet(/miljoonat?) saastuneet koneet skannailevat verkkoa, niin se ei tunnu yhtään raskaalta.

Voisi kuvitella että siinä voi pahimmassa tapauksessa aiheutua vaikka ikäviä seurauksia.

kuten jo sanoin, hyökkääjä saa olla oikeasti aika tyhmä jos käyttää hyökkäykseen omaa konettaan, sen sijaan hyökkäyksen järjestäjää ei varmasti liiemmin kiinnosta kenen mummon/vaarin/aloittelijan/tietoruvasta piittamattoman/kenen tahansa muun koneelta suoritetusta automatisoidusta hyökkäyksestä koituisi 'ikäviä seurauksia' koneen omistajalle.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Squirrel - 22.02.07 - klo:02.15
Tosin tuntuu nuo madot jne. kokeilevan lähes aina englanninkielisiä tunnuksia. (tai siis enkkunimia jne.) Kai ne kohtapuoliin osaa ruveta etsii muidenkin maiden nimien perusteella, mutta vaikka osaisikin, en huolestu yhtään siitä, että ne yrittää mun koneelleni.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Risto H. Kurppa - 22.02.07 - klo:07.45
Tämä nyt on varmaa sitä 'auth.login ihmettelyä', mutta 16 000 yritystä sisään 120 päivässä. Mutta noista tunnuksista:

Suurin yrittää roottia, paljon on myös guestia. Lisäksi on paljon japanihtavia nimiä (shiraki, hagiwara, nakamoto, motoka) - muuten rootin kanssa vuorotellen. Eri linux-distrojen nimiä, palveluiden nimiä (httpd, mysql, email, cvs, tomcat, php).

Marraskuussa on ollut jossain vaiheessa kuitenkin 'paremman todennäköisyyden nimilistat' käytössä: 263 erilaista suomalaista nimeä - lähinnä jotenkin 'tunnettuja' nimiä, kuten ahtisaari, hursti, hyypia, hurmerinta, helminen, hameenlinna, imatra, inari, gustaffsson, espoo ja eurooppa. I-kirjaimeen on kuitenkin nimet loppuneet, kenties yrittäneet uudemman kerran myöhemmin.

rhk.homelinux.net:8080/temp/nimia.txt
Hyvä meininki, tuosta saa jo vaikka minkälaista nimilistaa kokoon ;)


r
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: janne - 22.02.07 - klo:18.03
Tosin tuntuu nuo madot jne. kokeilevan lähes aina englanninkielisiä tunnuksia. (tai siis enkkunimia jne.) Kai ne kohtapuoliin osaa ruveta etsii muidenkin maiden nimien perusteella, mutta vaikka osaisikin, en huolestu yhtään siitä, että ne yrittää mun koneelleni.

on kyllä totta, että valtaosa taitaa kokeilla englanninkielisiä etunimiä, mutta oli minulla joku viikon pätkä kun joku mato yritti suomalaisillakin nimillä sisään. tuonkin tosin huomasin ihan sattumalta ja jäin huvikseni seurailemaan tilannetta, joten voi olla, että niitä on ollut enemmänkin.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Judanssi - 23.02.07 - klo:07.47
Kuinka herkästi muuten ilmoitatte ko. ISP:lle noista ilmoituksista? Itselläni tuo on satunnaista, mutta ei mitenkään harvinaista. Huonolla englannilla tehty ilmoitus, mihin osoitteeseen ja mistä noita on tullut + liitteeksi copypaste auth.logista.

Niin ja onkohan tuosta urputuksesta mitään hyötyä?
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: T.M - 27.02.07 - klo:13.04
miksi ylipäätään sopia mistään?
Jankkaan vielä asiaa. Minä en ole ainakaan sopinut missään että pidän sshd-palvelinta portissa 22. Entäpä miten väärin on pitää httpd-palvelinta muussa kuin default portissa. Vai olenko minä tämänkin sopinut jossain ?

Ihan varmasti vaikeutuu/hidastuu murtoyritysten teko jos zombiet vetävät porttiskannauksia pitkin maailmaa.
Käännetään asia niin päin. Kuinka monelle on tullut auth.logiin yrityksiä jos sshd roikkuu muussa kuin oletusportissa ?

Mielestäni tuo turvallisuuslisäys portinvaihdolla on samaa luokkaa kuin että autoa parkkeeratessa miettii hieman mihin jättää auton. Viekö sisäpihalle vai jättääkö pimeälle parkkipaikalle. Ei merkittävää mutta vähän kuitenkin...

Skannauksien ilmoittelu:
Työpaikalla olen ilmoitellut kotimaasta palomuuriin tulevista selkeistä matoskannauksista yms. Olen ilmoittanu asiasta yleensä suoraan skannuslähteeseen ja sieltä on yleensä tullut kiitoksia+ilmoitus koneiden siivoamisesta. sshd-yrityksiä en ole aktiivisesti monitoroinut joten niistä en ole ilmoitellut.

Ulkomaille en viitsi vaivautua varsinkin kun yritykset tulevat yleensä kaukaa idästä/etelä-amerikasta.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Tonde - 27.02.07 - klo:15.56
Lainaus käyttäjältä: janne
miksi ylipäätään sopia mistään? portti 22 nyt sattuu olemaan varattu ssh:lle ja ssh-palvelin (vain) jossain toisessa portissa jättää tämän kätevästi huomiotta.
Tämä on sangen ymmärrettävää, jos puhutaan yritysverkoista tai kaupallisista verkoista. Yksityiselle henkilölle, jonka ssh-käyttö on oman koneen etäkäyttöä, tällä ei ole mielestäni mitään merkitystä.

Kuinka monelle on tullut auth.logiin yrityksiä jos sshd roikkuu muussa kuin oletusportissa ?
puoli vuotta ollut ssh ei default portissa. Yhtään tunkeutumisyritystä ei näy auth.logissa.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: janne - 27.02.07 - klo:19.53
miksi ylipäätään sopia mistään?
Jankkaan vielä asiaa. Minä en ole ainakaan sopinut missään että pidän sshd-palvelinta portissa 22. Entäpä miten väärin on pitää httpd-palvelinta muussa kuin default portissa. Vai olenko minä tämänkin sopinut jossain ?

juu sinä et ole varmaa asiaa kirjallisesti missään sopinut homma nyt vaan on speksattu niin sinua hieman korkeammalla tasolla. mutta toisaalta et ole varmaan missään sopinut myöskään käyttäväsi palvelimillasi TCP/IP-protokollaa? vaihtamalla protokollaa yhteysyritykset vähenevät entisestään.

Ihan varmasti vaikeutuu/hidastuu murtoyritysten teko jos zombiet vetävät porttiskannauksia pitkin maailmaa.

porttiskannaus ei oikeasti kestä kovin kauaa, varsinkaan fiksulla rangella. madot eivät välitä kauan skannaus kestää ja kaiken lisäksi kun portti kerran löytyy, niin se on myös tiedossa. tietty sitten sitä porttia voi vaihdella kilpaa skannausten kanssa.

Mielestäni tuo turvallisuuslisäys portinvaihdolla on samaa luokkaa kuin että autoa parkkeeratessa miettii hieman mihin jättää auton. Viekö sisäpihalle vai jättääkö pimeälle parkkipaikalle. Ei merkittävää mutta vähän kuitenkin...

juu, vertaus varmaan pätee jos autoa ei laita lukkoon.

ssh-serverin saa kuitenkin oikeasti konffattua niin, että sinne ei tulla sisään, ellei palvelinohjelmistosta löydy erittäin vakavaa remote exploittia. tuo taas on harvinaisen epätodennäköistä ja kaiken lisäksi tuon kaltaiset aukot paikataan aivan järkyttävän nopeasti sellaisten löydyttyä.  oiken konffatulla palvelimella puolestaan ei ole väliä mihin sen 'parkittaa' ja siksi en edelleenkään näe mitään järkeä 'parkittaa' sitä yhtään mihinkään muualle kuin IANA:n IP-protokollalle speksaamaan porttiin
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: T.M - 27.02.07 - klo:23.03
juu sinä et ole varmaa asiaa kirjallisesti missään sopinut homma nyt vaan on speksattu niin sinua hieman korkeammalla tasolla. mutta toisaalta et ole varmaan missään sopinut myöskään käyttäväsi palvelimillasi TCP/IP-protokollaa? vaihtamalla protokollaa yhteysyritykset vähenevät entisestään.


ssh-serverin saa kuitenkin oikeasti konffattua niin, että sinne ei tulla sisään, ellei palvelinohjelmistosta löydy erittäin vakavaa remote exploittia. tuo taas on harvinaisen epätodennäköistä ja kaiken lisäksi tuon kaltaiset aukot paikataan aivan järkyttävän nopeasti sellaisten löydyttyä.  oiken konffatulla palvelimella puolestaan ei ole väliä mihin sen 'parkittaa' ja siksi en edelleenkään näe mitään järkeä 'parkittaa' sitä yhtään mihinkään muualle kuin IANA:n IP-protokollalle speksaamaan porttiin

Itse muistelisin että oli aikoja jolloin ssh exploittia hyödynnettiin laajastikkin. Vai rajoittuikohan se vaan matrix-elokuvaan :)

No turha täsä on enempi vääntää. Omaat varmasti enemmän tietoa IANA:n spekseistä kuin minä. Minä kuitenkin hyödynnän vapautta jonka sshd-palvelimen tekijä on minulle antanut toivottavasti ominaisuus säilyy sshd-softassa jatkossakin.

Oikea kysymys, vakavasti ottaen:
Jos kerran laajamittaiset porttiskannaukset on niin helppoja/nopeita tehdä niin miksi esim. tällä foorumilla ei ole kymmentä topiccia kyselemässä miksi palomuurilogeihin tulee kauhiasti tekstiä ? Akateemisessa mielessä kiinnostaisi myös että millä softalla ne yleensä tehdään (turboahdettu nmap oikeilla parametreillä) ???
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: janne - 28.02.07 - klo:01.50
Itse muistelisin että oli aikoja jolloin ssh exploittia hyödynnettiin laajastikkin. Vai rajoittuikohan se vaan matrix-elokuvaan :)

minä muistan yhden remote exploitin, enkä ole ihan varma siitäkään millä tavalla konffatut (vai kaikki) (open)ssh-serverit sille olivat alttiita. joka tapauksessa tämä kyseinen haavoittuvuus pakottin tietoturvalla kehuskelevaa openbsd:tä muuttamaan mainos-sloganiaan muotoon "Only one remote hole in the default install, in more than 10 years!" :)

Minä kuitenkin hyödynnän vapautta jonka sshd-palvelimen tekijä on minulle antanut toivottavasti ominaisuus säilyy sshd-softassa jatkossakin.

ilman muuta se säilyy. epästandardin portin käyttöön voi hyvin olla pakottaviakin syitä ja sattumoisin olen parhaillaan itse tilanteessa jossa tarvitsen ssh-palvelinta kuuntelemassa epästandardia porttia kahdellakin koneella.

Oikea kysymys, vakavasti ottaen:
Jos kerran laajamittaiset porttiskannaukset on niin helppoja/nopeita tehdä niin miksi esim. tällä foorumilla ei ole kymmentä topiccia kyselemässä miksi palomuurilogeihin tulee kauhiasti tekstiä ?

paha sanoa. eikö niitä sitten tule? itse en juurikaan seuraile palomuurilogeja, mutta eipä niihin juuri mitään tulisikaan, koska kotiverkkoni on joka tapauksessa natin takana.

Akateemisessa mielessä kiinnostaisi myös että millä softalla ne yleensä tehdään (turboahdettu nmap oikeilla parametreillä) ???

no, esimerkiksi nmap sopii hommaan varsin mainiosti, mutta löytyy ubuntunkin repoista useampia ihan pelkkiä porttiscannereita. eipä ihan perustoiminnallisuuden sisältävään scanneria olisi kovin hankala itsekään tehdä, eihän siinä perustilanteessa tarvitse kuin lähettää pyyntöjä eri portteihin ja odotella vastausta. virittämiselle olisi toki sitten varaa vaikka kuinka paljon :)
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Petri Järvisalo - 09.03.07 - klo:18.13
itse vaihdoin ssh portin 10000 ylemmäks ja lisäksi pidän listaa ketkä käyttäjät saa loggautua. loppu kolkuttelut heti.
fail2ban voisi olla toki mielenkiintoista kokeilla, mutta tuo yksinkertainen temppu hoisi homman oikein hyvin.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Tha-Fox - 04.06.09 - klo:12.01
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: tukste - 05.06.09 - klo:20.48
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

Saa, itselleni tuli ssh yrityksiä yli 400 päivässä ja sen jälkeen kun auth.logissa alkoi näkyä paljon Suomalaisia nimiä päätin tehdä jotain. Asensin Fail2bannin lähes oletusasetuksilla, ainut mitä vaihdoin oli maksimi yritysten määrä ja tauko sallittujen yritysten välillä. Edelleen yrityksiä tulee melko paljon ja välillä peräkkäin bannataan samaakin osoitettakin useitakin kertoja, mutta ei haittaa koska 3 yritystä ja tunnin banni välissä hidastaa ja oikeastaan lopettaa yritykset kuin seinään. Iptablesin muuttelulla ei ainekaan omasta mielestäni saa mitää lisähyötyä ssh:n suojaukseen.

Ps. Lisäksi laitoin laitoin /etc/issue.net:tiin, eli tekstiin minkä ssh serveri näyttää sisään kirjautumis yrityksen yheteydessä sopivan *ittumaisen ASCII kuvan, ihan vain kostoksi jos joku ääliö sattuu ruudun ääressä istumaan kun koneelleni yrittää
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: gdm - 05.06.09 - klo:21.20
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

tämä on melko tehokas keino vähentää kolkutteluja...
"/etc/ssh/sshd_config" Port arvoa muuttamalla onnistuu

itse vaihdoin ssh portin 10000 ylemmäks ja lisäksi pidän listaa ketkä käyttäjät saa loggautua. loppu kolkuttelut heti.
fail2ban voisi olla toki mielenkiintoista kokeilla, mutta tuo yksinkertainen temppu hoisi homman oikein hyvin.
Otsikko: Vs: SSH:n murtosuojaus
Kirjoitti: Tha-Fox - 06.06.09 - klo:00.19
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

tämä on melko tehokas keino vähentää kolkutteluja...
"/etc/ssh/sshd_config" Port arvoa muuttamalla onnistuu

itse vaihdoin ssh portin 10000 ylemmäks ja lisäksi pidän listaa ketkä käyttäjät saa loggautua. loppu kolkuttelut heti.
fail2ban voisi olla toki mielenkiintoista kokeilla, mutta tuo yksinkertainen temppu hoisi homman oikein hyvin.

Juu, olen tietoinen tuosta, mutta se ole tapauksessani mahdollista. Tämä johtuu palomuurista siinä päässä, josta yleensä otan yhteyttä.