Prévenir les attaques par force brute contre ssh ?

Je m'en moque. Laissons-les s'affairer sur le port, ils ne vont pas forcer une clé.

Le contexte est important, mais je recommanderais quelque chose comme ça :

• Puisque vous utilisez FreeBSD, envisagez de faire fonctionner le pare-feu PF et d'utiliser ses fonctions de limitation du débit des connexions solides. Cela vous permettra d'envoyer les forceurs de brutes sur une liste noire s'ils se connectent fréquemment.
• Si cette boîte doit être accessible depuis l'extérieur, envisagez d'utiliser une règle PF rdr pour ne pas autoriser le trafic vers le port 22, mais pour rediriger un port obscur vers celui-ci. En d'autres termes, vous devez vous connecter au port 9122 au lieu du port 22. C'est une solution obscure, mais elle permet d'éloigner les cogneurs.
• envisager de passer à l'authentification par clé uniquement, ce qui rendrait les attaques par dictionnaire inutiles

Suite à la proposition de limitation du taux de sherbang La durée du délai est importante. En augmentant le délai entre les groupes de 3 tentatives de connexion de 2 minutes à 20 minutes, le nombre d'adresses IP différentes qui ont fait plus de trois tentatives de connexion a chuté, en comparant deux périodes d'une semaine sur une de mes machines, de 44 tentatives à 3. Aucune de ces trois adresses n'a continué à essayer pendant plus de 11 heures.

Très anecdotique, mais le fichier auth.log est devenu beaucoup plus lisible pour moi...

Installez OSSEC. Non seulement il surveille les connexions répétées, mais il bloque temporairement l'iptables pour l'adresse IP incriminée. Et à la fin, il vous enverra un rapport indiquant les détails. Il enregistre tout, ce qui est bien. Une fois, quelqu'un a essayé de se connecter avec plus de 8000 noms d'utilisateur. J'ai analysé les journaux et j'ai obtenu une belle liste d'utilisateurs ;)