Практически первый совет по защите удалённого доступа — сменить порт ssh. Это, безусловно, полезно и позволяет отсечь основную массу брутфорса и в разы уменьшить количество мусора в логах. Но это эффективно только в отношении простых ботов и школьников. От индивидуального взлома этого мало, нужны и другие меры.
Скажем, смена порта может стать поводом для более пристального сканирования. Возможно, правильно было бы продемонстрировать злоумышленнику, что ssh по-прежнему находится на порте 22. Для этой цели существует такая штука как Honeypot («горшочек с мёдом»), иначе говоря приманка. Приманки бывают разные, в том числе полностью эмулирующие поддельную виртуальную машину, но сейчас речь о ssh.
Вот, например, Kippo, это honeypot, эмулирующий поддельный ssh на 22 порту. Он изображает полноценную файловую систему Debian, создавая у атакующего иллюзию доступа к критическим файлам, например
cat /etc/passwd
Ведутся даже логи доступа в поддельном /var/log для убедительности.
Кроме прочего, приманка может эффективно использоваться для сбора информации об атаках. Например, есть проект Kippo-Graph для сбора и визуализации статистики от Kippo.
Проект Kippo давно не обновлялся, есть более свежий форк Cowrie.
Оригинал: VK.com