ssh鍵ベースの認証の安全性

今朝ログオンしたとき、netstat -plantを実行し、ポート22で中国とフランスから確立された接続をいくつか見つけました。

どのくらいの期間それらを見ましたか？

インターネット上にSSHサーバーがある場合、人々は常にそれをスキャンし、一般的なパスワードの辞書攻撃を試みます。そのため、システムはブルートフォース攻撃を制限したいので、システムは接続して複数のパスワードを試し、試行の間に遅延を強制します。

これは、TCP接続が数秒または数分も「確立」されたことを意味します。接続は認証されたSSHセッションではなく、TCP接続です。

ここで見てください：

$ netstat -tn | grep :22 | egrep -v "[my address]"
tcp        0   1080 192.168.1.2:22         123.183.209.136:25690   ESTABLISHED
tcp        0      1 192.168.1.2:22         123.183.209.136:40117   FIN_WAIT1

数分後：

$ netstat -tn | grep :22
tcp        0   1080 192.168.1.2:22         123.183.209.136:48456   ESTABLISHED

最初のスナップショットでは、1つの確立されたセッションがあり、1つはまだ切断されています。数分後、新しいセッションがあります（クライアントポートが48456に変更されたことに注意してください）。したがって、この人は常にTCP=接続を開いて認証を試みています。その接続がシャットダウンされたときに何度も試行すると、別の接続が開かれます。

4096ビットのrsa鍵が一晩のうちに解読されるとは信じられません。

OpenSSHでキーベースの認証を回避するために使用できるエクスプロイト/脆弱性はありますか？

鍵ベースの認証は、SSHによるアクセスを許可するための最良のオプションですか？代替案は何ですか？

まだ慌てる必要はありません。接続を監視します。最後の1つをかなりの期間表示しない限り、おそらく心配する必要はありません。

lastの出力をチェックして、実際にログインしている人がいるかどうかを確認し、送信元アドレスを関連付けることもできます（たとえば、IPからのログインについては心配しないでくださいyoログイン元）：

$ last
gowenfawr pts/0        192.168.1.3      Thu Aug  3 18:55   still logged in
gowenfawr pts/0        172.16.43.21     Thu Aug  3 03:29 - 03:29  (00:00)
gowenfawr pts/0        172.16.43.21     Thu Aug  3 03:19 - 03:29  (00:09)
gowenfawr pts/0        172.16.43.21     Thu Aug  3 03:04 - 03:06  (00:02)
gowenfawr pts/1        192.168.1.3      Wed Aug  2 19:44 - 21:09  (01:25)

wtmp begins Wed Aug  2 19:44:26 2017

もちろん、誰かがdidシステムに危害を加えたとしても、lastやnetstatを信頼することはできません。