ブルートフォース攻撃の最適な禁止期間はどれくらいですか？

禁止の最適な時期についての一般的な規則はありません、それは以下を含む多くの要因に依存します

• サーバー/サービスのタイプ
• ターゲットオーディエンス
• 攻撃の種類
• そして特定の攻撃/攻撃者。

もちろん、これは、禁止を解除する必要があるかどうかを判断する場合にも当てはまります。サービスに合法的に接続するIPアドレスが非常に少ない場合、攻撃者（半）を永続的に禁止することは悪い考えではないかもしれませんが、それ以外の場合は、さらに多くの情報が作成されます。善を行うよりも問題。

あなたのコメントに関して編集してください：

ルートアカウントの最も重要な保護は

• ルートアクセスを最初から許可しない
• 他の用途にはキーベースのログインのみを使用し、パスワードを許可しないでください。

これは、今日見られる分散型のブルートフォース攻撃からも保護するのに役立ちます。この攻撃では、各マシンがごく少数のパスワードのみを試行し、fail2banのようなものをトリガーしない、多数のボットネットマシンによってゆっくりと攻撃されます。まったく。

2番目のコメントに関する2番目の編集：

私たちは明らかにここの「依存する」領域にいます。私の環境からの例：

• マシン1には、外部ネットワークからログインするユーザーがいます。パスワードログインを無効にできません（reasons :(のため）。禁止時間は10分に設定されています。
• マシン2には、非常に少数のゆっくりと変化するIPからログインする管理者しかいません。禁止時間は24時間に設定されています。

問題は、24時間禁止は、たとえあったとしてもわずかにしか機能しないということです（*）が、それでも、非ルートキーベースのログインに制限されているため、マシン2の保護ははるかに優れています。

（*）これは私の印象であり、ログファイルの実際の統計分析には含まれていません。