I will weigh in here as well (even if I am really late).<br><br>I agree that changing the port from 22 is just a security through obscurity, but it also tells you the level of commitment/sophistication of the attacker and doesn't fill up your logs. I have found that having lots of false positives (trying a user name that will not work or dictionary attacks) can hide the attacks that you are worried about.  In three years on my own systems I have not seen attacks against my ssh ports, but before I was getting about 1MB of logs a day in just brute force attacks that would not succeed. <br>
<br>Here is a good writeup about different ways to deal with the attacks.  I am adding it to the conversation just for completeness.<br><a href="http://www.la-samhna.de/library/brutessh.html">http://www.la-samhna.de/library/brutessh.html</a><br>
<br>Most will not know what port knocking is so here is another explanation.<br><a href="http://www.portknocking.org/">http://www.portknocking.org/</a><br><br>My last suggestion is to use the country to IP address (<a href="http://www.countryipblocks.net/">http://www.countryipblocks.net/</a>) to filter out countries that you don't want access to your systems ssh port.  This can be done in your iptables config.  This will also cut down on the size of your logs.<br>
<br><br>Hope this helps someone and doesn't cause another bout of emails ;)<br>Brad<br><br><div class="gmail_quote">On Mon, Jul 19, 2010 at 10:50 PM, Darcy Casselman <span dir="ltr"><<a href="mailto:dscassel@gmail.com">dscassel@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im">On Mon, Jul 19, 2010 at 9:41 PM, unsolicited <<a href="mailto:unsolicited@swiz.ca">unsolicited@swiz.ca</a>> wrote:<br>

> Darcy Casselman wrote, On 07/19/2010 9:12 AM:<br>
>><br>
>> Along with previous suggestions, I'd recommend switching to a<br>
>> non-standard port.  It's not really security against a determined<br>
>> attacker, but it cuts out 99.99% of the random Internet drive-bys.<br>
><br>
> Could you tell me the source of this statistic please?<br>
<br>
</div>Sure! I made it up.<br>
<div class="im"><br>
> Save yourself the irritation. Particularly when you run into a<br>
> firewall that lets you talk out to known ports, but not weird ones.<br>
<br>
</div>No worries.  I'm not going to forget mine.  And, like Khalid said, you<br>
can put it in your .ssh/config<br>
<font color="#888888"><br>
Darcy.<br>
</font><div><div></div><div class="h5"><br>
_______________________________________________<br>
<a href="http://kwlug-disc_kwlug.org" target="_blank">kwlug-disc_kwlug.org</a> mailing list<br>
<a href="http://kwlug-disc_kwlug.org" target="_blank">kwlug-disc_kwlug.org</a>@<a href="http://kwlug.org" target="_blank">kwlug.org</a><br>
<a href="http://astoria.ccjclearline.com/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://astoria.ccjclearline.com/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><a href="http://www.google.com/profiles/bbierman42">http://www.google.com/profiles/bbierman42</a><br>