SSHのブルートフォースアタックとかパスワード認証とか
を読んで、
パスワード認証無効にすれば、brute force attackはうざいだけで侵入の危険性はない(秘密鍵が漏れたとかSSHの実装に脆弱性があるとかを除けば)ので、iptablesのhashlimitで追い返すだけでいいんでないすかね?
ちなみに、OpenSSHチームはPAMを推奨していないぽい。これはOpenSSH 3.7.1p1のリリースノートやそこからリンクされているメールから伺い知れる。
このリリースでは デフォルトで PAMが無効になっている. 有効にするには, sshd_configで "UsePAM yes" と設定せよ. 複雑さと, 仕様の一貫性のなさ, ヴェンダーのPAMの実装の間の差異のために, 使う必要がなければ, sshd_configで無効にしたままにすることを推奨する. 公開鍵認証と 単純なパスワード認証を使うサイトでは通常 PAM サポートを有効にする 必要はほとんどない.
http://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_3.7.1p2.txt
- 'Re: PAM vulnerability in portable OpenSSH' - MARC
- OpenSSH FAQ : 3.15 - OpenSSH のバージョンと PAM のふるまいについて。
あとあと、はなしはSSHから外れるけど、/etc/{passwd,shadow}には一切パスワードを書いてないというお方もいらっしゃった。
なんでもrootのパスワードはOTP (One Time Password)を使ってるそうな。nrhd!