Presumindo que ninguém pode roubar a senha de mim mesmo, é praticamente 99,9% impossível usar o SSH para invadir meu servidor executando SSH em uma porta padrão usando muito strong (24 símbolos contendo letras maiúsculas, números minúsculos, parênteses, sublinhados , dólares, períodos, etc. e sem palavras de linguagem humana) senha?
apesar de raro, ainda existem exploits de 0 dias ... então você nunca sabe. talvez você possa limitar o acesso à porta 22 [no nível de firewall] apenas para poucos hosts / redes?
ou talvez você consiga usar a segurança, embora de maneira obscura, e implementar porta batendo ?
Lembre-se de que a sua senha pode ser muito strong, enquanto outros usuários podem ter senhas realmente fracas. Coloque AllowGroups ou AllowUsers em /etc/ssh/sshd_config para desativar o acesso ssh a outros usuários.
Lembre-se também de que sua senha também pode ser segura: essa senha quase certamente será gravada.
Dito isto, acho que você está bem seguro; se você combinar com a porta batendo ou então você é muito seguro.
Tudo depende da rapidez com que um invasor pode martelar em sua porta tcp / 22 para logins. Se você não estiver usando algo para encerrar essas conexões repetidas, com o tempo, qualquer senha poderá ser descoberta. Neste caso, o tempo será muito longo. Meses de martelamento constante. Nos registros do SSH em que passei, vi pequenos golpes direcionados contra contas específicas e muitas batidas de portas à procura de senhas fracas.
No entanto, você não pode presumir que todos os invasores são casuais. Alguém que tenha como alvo você especificamente terá o investimento para esperar vários meses para entrar. É por motivos como esse que a chave compartilhada é preferida sempre que possível. A senha que você descreve é muito provável que seja de três noves impossíveis de quebrar (em restrições de tempo razoáveis). Eu não prenderei minha respiração por cinco noves.
Use denyhosts. Considere também usar o login baseado em chave em vez de um passwrod.
Mover o sshd para uma porta não padrão provavelmente seria trivial para adicionar à sua configuração, e provavelmente eliminaria 99% do tráfego do bot ssh. Por que se expor a todos os ataques de força bruta quando você pode se esconder tão facilmente? ; -)
Eu também geralmente recomendo configurar o sshd para usar somente autenticação baseada em pares de chaves SSH, se ele for exposto à Internet como um todo. Contanto que você mantenha sua chave privada segura, é quase impossível para os criminosos se autenticarem como você no servidor.
Como outro comentarista já apontou, isso não protege você contra exploits de 0 dias no próprio sshd. É sempre uma boa ideia limitar o tráfego apenas às máquinas que precisam se conectar por meio de regras de firewall.