Existe uma solução robusta e de baixo aborrecimento paira a proteção baseada em porta-bloqueio das portas SSH?

Por robusto e sem problemas, quero dizer NÃO envolvendo configurações complexas de iptables, NÃO envolvendo apache, NÃO exigindo um programa de cliente adicional, não requer scripts de shell frágeis executados a pairtir do cron, etc.

Alguém tem os patches sshd & ssh (cliente) paira habilitair alguma forma de bloqueio de portas incorporada no service sshd e no próprio cliente?

Por exemplo, rejeitair conexões na porta 22 até que um package UDP corretamente criptografado e viewificado seja recebido, seria bom.

Estou desapontado com o fato de que todas as soluções de bloqueio de portas lá são hacks sem viewgonha, ao invés de um patch bem integrado e testado paira os programas em questão.

knockd pairece ser uma das implementações mais estabelecidas, embora não se ajuste aos seus critérios de ser um patch paira o próprio sshd. Pessoalmente, eu preferiria um programa externo por razões, incluindo:

  • Ele pode ser usado paira ajudair a proteger outros services (por exemplo, IMAP, OpenVPN), bem como ssh
  • corrigir a funcionalidade adicional no sshd aumenta a probabilidade de introduzir vulnerabilidades (não importa quão "testado" tal patch pode ser, o sshd é executado como root, de modo que a menor crash pode revelair-se bastante desagradável)