Não há regra geral para o tempo ideal de uma proibição, depende de muitos fatores, incluindo
- O tipo de servidor / serviço
- O público-alvo
- O tipo de ataque
- e o ataque / atacante específico.
Isso também é verdade para decidir se você precisa desbanir de todos os modos - se muito poucos endereços IP puderem se conectar legitimamente aos seus serviços, banir os atacantes (semi) permanentemente pode não ser uma má ideia, mas em outros casos, vai criar mais problemas do que fazer bem.
Edite o seu comentário:
A proteção mais importante para contas root é
- não permitir que o acesso root comece com
- Use somente login baseado em chave para os outros usos e desative as senhas.
Isso também ajuda a protegê-lo contra o tipo distribuído de ataque de força bruta que você pode ver hoje, onde você é atacado lentamente por um grande número de máquinas de bot com cada máquina tentando apenas um número muito pequeno de senhas. coisas como fail2ban em tudo.
2ª edição, referente ao 2º comentário:
Estamos claramente no território "depende" aqui. Um exemplo dos meus ambientes:
- A máquina 1 tem usuários fazendo login de redes externas. Não consigo desabilitar logins de senha (por causa de motivos :(). O tempo de bloqueio está definido para 10 minutos.
- A Máquina 2 tem apenas administradores fazendo login a partir de poucos IPs que mudam lentamente. O tempo de proibição está definido para 24h.
O problema é que a proibição de 24 horas funciona apenas marginalmente melhor, se for o caso (*), mas a máquina 2 é muito melhor protegida, apesar da restrição a logins baseados em chaves não-raiz.
(*) Essa é a minha impressão e não está fundamentada em nenhuma análise estatística real de arquivos de log.