Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh  y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.

Mediante netstat -n vi al intruso en mi conexion:

tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   ESTABLISHED 
 

en /etc/ hay un fichero llamado hosts.deny

lo modifcamos desde la consola

nano /etc/hosts.deny

le colocamos
SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip


ALL:ip
Quedaría algo asi el fichero.

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL: 193.105.99.122
ALL: 218.28.4.58
ALL: 121.14.118.4
 
 
 
 
 
 

Ahora despues de los cambios miren como cambio el estado de la conexion

tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   TIME_WAIT   
 

Hasta desaparecer de las conexiones intrusas.

Jajajja no te niego eso, pero saca de apuro 

Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP.
hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking )
Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd

En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás.

Saludos.

P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá  ~