SSH ポートを開いていると、間違いなくパスワード総当り攻撃を食らう。これが酷い時は、 SSH ポートに接続できなくなる位ひどい時もあるので、前もって対策しておきたい。
F/W や iptables でアクセス元の IP を制限すればいいんだけど、それができないケースなどは以下の iptables ルールで、一分間に3回以上接続がきた IP をブロックする。
iptables -N SSH_CHECK iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK iptables -A SSH_CHECK -m recent --set --name SSH iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP