Какова оптимальная продолжительность запрета атаки грубой силой?

Не существует общего правила для оптимального времени бана, это зависит от многих факторов, включая

• Тип сервера / услуги
• Целевая аудитория
• Тип атаки
• и конкретная атака / атакующий.

Это, конечно, также верно, если вы решите, нужно ли вообще отменять бан - если очень мало IP-адресов могут законно подключаться к вашим услугам, запрет (наполовину) злоумышленников не может быть плохой идеей, но в других случаях это создаст больше проблемы, чем делать хорошо.

Изменить относительно вашего комментария:

Наиболее важной защитой для корневых учетных записей является

• не разрешать root-доступ для начала
• Используйте только регистрацию на основе ключей для других целей и запретите пароли.

Это также помогает защитить вас от распределенного типа атаки методом грубой силы, которую вы можете увидеть сегодня, когда вы медленно атакуете большое количество компьютеров бот-сетей, причем каждая машина пытается использовать только очень небольшое количество паролей, таким образом не вызывая такие вещи, как fail2ban совсем.

2-е редактирование, относительно 2-го комментария:

Мы явно находимся на территории "это зависит". Пример из моей среды:

• На компьютере 1 пользователи входят в систему из внешних сетей. Я не могу отключить логин паролей (по причинам:(). Время бана установлено на 10 минут.
• Машина 2 имеет только администраторов, которые входят в систему с очень немногих, медленно меняющихся IP-адресов. Время бана установлено на 24 часа.

Дело в том, что 24-часовой запрет работает лишь незначительно лучше, если вообще (*), но машина 2, тем не менее, гораздо лучше защищена из-за ограничения входа в систему без корневого ключа.

(*) Это мое впечатление и не основано ни на каком реальном статистическом анализе файлов журнала.