Wie gesagt, mein Beispiel galt einem relativ unsicheren Passwort. Wenn
ich die Parameter leicht anpasse (10 Zeichen aus einem 62 Zeichen-Pool
(Groß- Kleinbuchstaben + Ziffern)) komme ich hier auf 13 mio Jahre
"theoretische Angriffszeit". Da geht ist die Gefahr, dass jemand in der
ersten Stunde mein Passwort errät, gegen 0.
Und mit Fail2Ban kannst du das ganze zum Beispiel reduzieren das nur 3
versuche pro Minute zulässig sind. Wie lange brauchst du dann dort um
ein Passwort zu Brute-Forcen?
Wenn ich simpel 1000*60 / 3 rechne brauche ich 20.000 mal länger. Daher
die durchschnittliche zeit wächst von 40 jahre auf 800.000 jahre an. Von
daher stellt sich mir schon die Frage wie man behaupten kann das
Fail2Ban kein Sicherheitsgewinn sein sollte?
Und den Standard den Debian mit Fail2Ban einrichtet sind 5 versuche auf
10 Min oder so. Ein ziemlich krasser Sicherheitsgewinn für ein simples
"aptitude install fail2ban".