Would it be a good idea to change the name of the root account to something completely random that only I would know? As most attempts are being made on the root user, having the username is half the battle won already? Is this a good or bad idea?
Para o sistema operacional, uma solução muito mais segura seria não permitir a raiz de nenhum acesso SSH. Você deve entrar como um usuário sem privilégios que tem a capacidade de su ou sudo. Além disso, todo o acesso ssh deve ser por chave privada, não por senhas.
Se você estiver interessado em reduzir a quantidade de tráfego resultante dessas tentativas de "cracking", poderá executar o ssh em uma porta não padrão (essa não é uma medida de segurança, mas é um método eficaz de permanecer fora do radar e impedir que algum tráfego indesejado chegue a sua máquina).
Além disso, você pode usar um serviço como o link que monitorará tentativas de login com falha e proibirá IPs.
Para acesso em nível de aplicativo (coisas como CMSs etc) é bom se você pode ficar longe de URLs padrão (como / admin ou / administrator) e fugir de portas não-padrão o mantém um pouco fora do radar. Aqueles não aumentam a segurança, mas mais uma vez podem desviar muito tráfego dessas áreas.
A orientação segura de segurança do nome de usuário padrão (admin / root etc) e senhas padrão é uma boa ideia. Também com logins do CMS / Aplicativos, restringir o I.P e usar métodos semelhantes ao fail2ban são uma boa idéia.
Regarding ports: Should I be closing ports for FTP and SSH and only opening them when I want to connect to the server myself, is this something that is normally done? Is there also any way of restricting SSH connections to a single IP and only allowing one connection at a time?
- Restringir o acesso a IPs específicos é uma boa ideia
- Se você fosse paranóico, só poderia abrir portas quando precisasse usá-las, no entanto, isso poderia ser inconveniente para implementar
- Você pode restringir o acesso à porta. O SSH é executado por meio do seu firewall
- Você pode restringir o acesso ao serviço SSH via sshd_config, algo como AllowUsers user @ ip