sshd の設定です。

おすすめの設定

root ログインの禁止

パスワードログインの禁止

待ち受けポートの変更

sshd の待ち受けポートをデフォルトの 22 以外に変更するという対策です。

ポート 22 から変更できないサーバは、管理者のスキルが低いか、ユーザの中にスキルが低い人が混じっているなどの事情で変更できない可能性が高いため、執拗に狙われます。

おすすめでない設定

fail2ban

不正なログイン試行に対して、その IP アドレスからのアクセスを一定期間禁止するサービスです。最近の sshd に対する攻撃は、特定の IP からではなく、攻撃側は複数の IP を切り替えてログインを試みてくるため、fail2ban が有効な対策になるケースは少なめです。設定がめんどくさい割に効果が薄いとなると、やる価値は低いでしょう。それよりも、待ち受けポートの変更の方がはるかにお手軽で有効です。

手動で攻撃者の IP を遮断する

これは設定ではなく運用です。手動で drop するのがめんどくさいです。攻撃1つに対して、こちらも1アクション取られるのは、あまり良い方法とは言えません。

私のサーバでは、sshd を国内からのアクセスに制限したから大丈夫だろう、ということで、ポート 22 のままで運用していました。それでも不正なログイン試行が続き、最近しつこいなあと思って、遮断しました。1周間ほど経って、国内の別のプロバイダの IP から攻撃が続くようになり、これも遮断しました。すると、同一ネットワーク内（さくらインターネット）の 4つの IP から攻撃が始まりました。そんなにサーバが乗っ取られているのか、あるいは攻撃のために新規に契約したのかは分かりませんが、何とも不気味です。

おわりに

書きかけです。