使用Denyhosts防止服务器被ssh暴力破解
DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。
思路:利用读取到/var/log/secure登陆失败的IP信息,我们可以设定一个规则,如果登陆失败超过多少次,我们把这个IP写到 /etc/hosts.deny中,拒绝访问!
1、先把始终允许的IP填入 /etc/hosts.allow ,因为自己访问超过了次数那就尴尬了。不过一般购买的VPS都有后台可以更改ROOT登陆密码,所以这个步骤也可以不设置。
# vim /etc/hosts.allow # sshd:IP:allow
2、安装DenyHosts 官方网站为:http://denyhosts.sourceforge.net (备用下载地址:DenyHosts-2.6.tar.gz)
# 官网下载包安装 # tar -zxvf DenyHosts-2.6.tar.gz # cd DenyHosts-2.6 # python setup.py install # yum安装 [root@www ~]# yum install -y denyhosts
3、配置
# cd /usr/share/denyhosts/ # cp denyhosts.cfg-dist denyhosts.cfg # vi denyhosts.cfg
SECURE_LOG = /var/log/secure #要读取安全日志路径,默认的不管它 HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny,默认的不管它 PURGE_DENY = 1d #设定过多久后清除已阻止IP (m=分钟,h=小时,d=天,w=周) BLOCK_SERVICE = sshd #阻止服务名 DENY_THRESHOLD_INVALID = 5 #允许无效用户登录失败的次数 DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数 DENY_THRESHOLD_ROOT = 3 #允许root登录失败的次数 (上面3个登陆失败的次数建议不要设定太苛刻,以免自己输错了被列入黑名单了) DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹 WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中 SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES #假如设定为YES,那么已经设为白名单中的IP登陆失败也会被设为可疑,也会被列入黑名单中,设定NO的意思就相反。 HOSTNAME_LOOKUP=YES #如果可以的话记录登陆失败的hostnameLOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。 HOSTNAME_LOOKUP=NO #是否做域名反解 ADMIN_EMAIL = #设置管理员邮件地址 DAEMON_LOG = /var/log/denyhosts #自己的日志文件 DAEMON_PURGE = 10m #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间。
注:henyhosts的配置文件参数配置和中文注释不能在同一行否则无法运行程序,查看注释如何配置请使用 denyhosts含中文注释.zip,如果是在服务器上配置这里准备初始的配置模板:denyhosts删除了注释的配置文件.zip
denyhosts删除了注释的配置文件.zip denyhosts含中文注释.zip
4、设置启动脚本
# cp daemon-control-dist daemon-control # chown root daemon-control # chmod 700 daemon-control 完了之后执行daemon-contron start就可以了。 # ./daemon-control start 如果要使DenyHosts每次重起后自动启动还需做如下设置: # cd /etc/init.d # ln -s /usr/share/denyhosts/daemon-control denyhosts # chkconfig --add denyhosts # chkconfig denyhosts on #或者 chkconfig --level 345 denyhosts on
然后就可以启动了:
# service denyhosts start # ps -ef|grep denyhosts #检查是否启动
# vim /etc/hosts.deny #查看内是否有禁止的IP,有的话说明已经成功了。
测试结果如下:(测试发现,登录次数指的是ssh链接次数,而不失密码输入错误次数,我定义了5次即封禁IP,结果链接ssh六次后,第七次登录失败)
客户端:
服务器端:
共有 0 条评论