Pour ma part je laisse en port 22, c'est chiant quand on fait des "scp" ou "shh" de toujours devoir spécifier les ports. Un bon mot de passe c'est presque incassable, root interdit avec un seul utilisateur admis.

En plus j'utilise iptables pour bloquer le brut force: au tout début de mon script Firewall j'interdis tout puis je mets les lignes si dessous.

Le principe 3 tentatives de connexions sans succès -> adresse ip bloquer 600 secondes(10min) avec log IP bloques dans /var/log/syslog .

iptables est implémenté dans le noyau donc prioritaire sur OpenSSHd. Quand iptables bloque l'IP, SSHd ne sait même pas que cette ip essaye encore de se connecter!

Simple et super efficace. Pas besoin de fail2ban

parametres important:
-dport: numéro port SSHd
-seconds: nombre de secondes de bannissement
-hitcount: nombre de tentatives acceptable avant banissement

Attention respecter l'ordre des lignes "iptables"

### Acces SSH et BLOCAGE IP après 3 tentatives de connexions
# DROP acces SSH si force brut

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 3 --name NMAP -j LOG --log-prefix " IP BANISE SSH FORCE BRUTE "

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 3 --name NMAP -j DROP

iptables -A INPUT -p tcp --dport 22 -m recent --set --name NMAP -j ACCEPT

# SSH
iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT

cles + iptables ... y a que ca de vrai.

Sujet intéressant car c'est un grand classique.

Sinon pour générer un mot de passe "aléatoire", tu as la commande pwgen

Si tu veux limiter l'accès à une adresse ip ou à un sous réseau, il faut passer par une configuration de iptables me semble t il.