Возможно ли, чтобы iptables отбрасывал любые пакеты с пользователем "root", чтобы демон SSH даже не тратил циклы на отказ от попытки входа в систему?
Я уже запрещаю попытки входа в систему root в моем ssh_config. Но это все еще требует ресурсов, чтобы отклонить и зарегистрировать попытку. Я хочу отбросить пакет на межсетевом экране (он же iptables) еще до того, как он будет отправлен демону.
Так можно ли отбрасывать пакеты в зависимости от пользователя?
Я хочу избегать использования таких решений, как fail2ban, которые запрещают IP-адрес. Я не хочу запрещать IP-адрес.
Это невозможно, как описано в протоколе SSH RFC, поскольку данные для входа не отправляются, пока соединение не будет установлено и зашифровано. Следовательно, брандмауэр никогда не увидит имя для входа. Таким образом, межсетевой экран не может отбрасывать пакеты, основываясь на том, что он не видит.
Отказ в обслуживании - это известная уязвимость протокола SSH, которую необходимо устранять другим способом.