SSHのデフォルト設定が安全ではないのはなぜですか？

多くのシステムでは、システムへの唯一のエントリポイントはSSH経由です。ユーザーアカウントがまだ作成されていない新規インストールでは、ルートアカウントのみを持つことができます。
それでは、複数のアカウントを持っていても外部認証を使用していましたが、認証システムが失敗した場合はどうなりますか？箱に戻って修正できるはずです。

PermitRootLoginSSHキーのみを有効にすることができますがwithout-password、そのためには少なくとも1回はパスワードでログインしてSSHキーを追加する必要があります。

最初に必要な理由を除いて、デフォルト値をかなり安全ながら依然として有効にすることは、パッケージマネージャの責任だと思います。できるだけ安全にする方法には、ルートの無効化、22 以外のポートでのリスニング設定、パスワード認証の無効化などがあります。ルートSSHでパスワードを有効にすること自体はセキュリティホールです。これは、ルートパスワードが脆弱な場合にのみセキュリティホールになります。
私はこれをファイアウォールポリシーに例えます。ほとんどのディストリビューションは、iptables ルールまたは sysctl カスタマイズが有効になっていない状態で工場から出荷されます。カスタマイズせずにインターネットにサーバーを配置することは大きなリスクです。サーバーの目的に適したセキュリティポリシーを実装することは、サーバー所有者の責任です。

あなたのディストリビューションがこれらの安全でないデフォルトの原因である可能性が高くなります。さまざまなディストリビューションは、さまざまな基本構成を提供します。

一方、事前設定なしでネットワークサービスを開始するのはおそらく悪い考えです。管理者は独自の特別な要件があることが多く、独自のスクリプトを公開しない場合は、少なくともインストール後に構成を確認する必要があります。

無差別攻撃：この種の攻撃を検出する別の方法があります。 IPsetとファイアウォール、侵入検知システムなどがあります。 sshは独自のソリューションを作成する必要はありません。

SSHには安全でないデフォルトはありません（少なくとも言及したデフォルトではありません）。

OpenBSD 4.7（2010年リリース）以降、プロトコル1はデフォルトで無効になっています。プロトコル1はまだデフォルトで有効になっていますが、クライアントが要求した場合にのみ使用され、プロトコル（プロトコルバージョン2をサポートするすべてのクライアントのように）は、サーバーまたはユーザーが明示的にサポートしていない限り、プロトコルバージョン2を使用します。バージョン1を要求します（OpenBSD 4.7以降、OpenSSHクライアントは明示的にプロトコルバージョン1に置き換えられません）。

SSH によるルートログインの許可はセキュリティ上の問題ではありません。攻撃パスを許可するなら、サーバー管理者が正しく仕事をしていないという意味だ。推測可能なルートパスワードを選択しないでください！ルートログインを無効にすると、セキュリティが強化されます。ユーザーのミスを防ぐために、保護層を追加してセキュリティを向上させます。これは良いことですが、必須ではありません。

愚かな推測を可能にするパスワードを選択しないと、継続的なログイン試行による唯一の脅威はログパーティションを埋めることです。

ログイン試行率を制限するのは両刃の剣です。一方では、攻撃者があまりにも単純なパスワードを推測するリスクを減らし、彼らが消費する帯域幅を減らします。一方、攻撃者と同じネットワークネイバーでサーバーにログインする必要があり、厳しい制限を設定すると、DoS攻撃にさらされる可能性があります。

1だけ_{でなく根ところでログインが試みられます。などの一般名と一般システムアカウント名もありますadmin。webmaster}