Предполагая, что никто не может украсть у меня фактический пароль, практически на 99,9% невозможно использовать SSH для взлома моего сервера, работающего по SSH на стандартном порте, с использованием очень сильных (24 символа, содержащих прописные, строчные цифры, круглые скобки, подчеркивания, доллары, точки и т. д. и без человеческих слов) пароль?
Помните, что ВАШ пароль может быть очень надежным, в то время как у других пользователей могут быть действительно слабые пароли. Ставить AllowGroups или AllowUsers в /etc/ssh/sshd_config чтобы отключить доступ по ssh для других пользователей.
Также помните, что ваш пароль может быть слишком безопасно: этот пароль почти наверняка будет записан.
Сказав это, я думаю, вы в безопасности; если вы комбинируете со стуком порта или так, вы очень в безопасности.
Все зависит от того, насколько быстро злоумышленник может забить ваш порт tcp / 22 для входа в систему. Если вы не используете что-то для прерывания таких повторяющихся подключений, со временем можно будет обнаружить любой пароль. В этом случае время будет очень большим. Месяцы постоянных молотков. В журналах SSH, которые я прогуливал, я видел мало направленных ударов по конкретным учетным записям и множество стуков в дверь в поисках слабых паролей.
Однако нельзя предполагать, что все нападавшие случайны. Тот, кто нацеливается именно на вас, будет вынужден подождать несколько месяцев, чтобы взломать его. Именно по таким причинам, где это возможно, предпочтительнее использовать общий ключ. Описанный вами пароль, скорее всего, будет из трех девяток, который невозможно будет взломать (в разумные сроки). Я бы не задерживал дыхание на пять девяток.
хотя и редко, но все же есть уязвимости нулевого дня ... так что мало ли. может быть, вы можете ограничить доступ к порту 22 [на уровне брандмауэра] только несколькими хостами / сетями?
или, может быть, вы можете пойти по пути безопасности и безвестности и реализовать стук порта?
Используйте denyhosts. Также рассмотрите возможность использования входа на основе ключа, а не пароля.
Перемещение sshd на нестандартный порт, вероятно, будет тривиальным для добавления в вашу конфигурацию и, вероятно, устранит 99% трафика ботов ssh. Зачем подвергать себя всем атакам грубой силы, если так легко можно спрятаться. ;-)
Я также обычно рекомендую настроить sshd для использования только аутентификации на основе пары ключей SSH, если он будет доступен в Интернете в целом. Пока вы храните свой закрытый ключ в безопасности, злоумышленники практически не могут пройти аутентификацию, как вы, на сервере.
Как уже отмечал другой комментатор, это не защищает вас от эксплойтов нулевого дня в самом sshd. Всегда рекомендуется ограничивать трафик только теми машинами, которые должны подключаться через правила брандмауэра.