Sua configuração existente parece muito segura. No entanto, existem outras coisas que você pode usar para restringir o acesso.
A batida de porta pode ser usada para manter a porta fechada a maior parte do tempo. Isso é implementado usando iptables
. Existem daemons que podem ser usados ou as regras podem ser implementadas inteiramente em iptables
, conforme descrito na documentação do Shorewall .
Se os wrappers tcp estiverem ativados. Um par de regras como as seguintes em /etc/hosts.allow irá notificá-lo sempre que uma conexão remota for feita com o deamon
. A primeira regra permite que as conexões locais funcionem silenciosamente, ajuste o intervalo do endereço IP conforme apropriado. A segunda regra impede o acesso de endereços que invertem a um número de TLDs do país e envia uma mensagem por e-mail para cada conexão bem-sucedida. Pode ser barulhento, se você não usar o Port Knocking.
sshd : 10.0.0.0/8 192.168.0.0/24
sshd : ALL \
EXCEPT .ar .au .br .by .cl .co .cz .do .eg .gt \
.id .il .in .jp .ma .mx .nl .pe .pk .pl .pt \
.ro .rs .ru .sa .sg .tr .tw .ua .vn .za \
.ae .at .bg .gh .hr .hu .ke .kz .lt .md \
.my .no .sk .uy .ve : \
spawn (/bin/echo "SSH connection to %N from %n[%a] allowed" | \
/usr/bin/mailx -s "SSH Allowed" [email protected])
As regras fail2ban
podem ser usadas para hospedar temporariamente temporariamente os hosts que estão tentando forçar seu servidor. Eu vi tentativas ocasionais quando tive ssh exposto à Internet.