DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件
& K* o' h f1 i) g! {! f; S

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）) F$ z8 J$ D* O$ l1 R2 a* c6 r) {

SECURE_LOG = /var/log/secure #ssh日志文件
! ]7 `( X+ B/ ?: W2 w
7 d7 K7 E- f' `8 {
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
3 J- i! E( T3 D
! i$ H$ w: q0 w9 ^- z
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
# c: o: L, Y/ p6 s: Q' A
7 u0 K X: f+ K1 s, A0 F5 N
BLOCK_SERVICE = sshd #阻止服务名. q$ f% V0 P! I) `# q
6 w6 {: W/ n/ ^& [ n3 K7 b6 _
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要
1 _5 G8 ]. Z$ E3 E$ p
Z4 r5 f6 M1 M$ Z* M+ G" e
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要 * [( Y; k: W9 m1 g- N
( b& ]3 Q3 _1 J6 W3 G- i
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
/ o! A' p- b2 @. n/ N
) L: m7 O1 k+ d9 P
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 " d/ _4 {; k0 O$ w% A
6 a7 i8 @. f1 t3 `3 l' N. }$ h
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）; d$ P& U9 ~2 G$ D; [) N+ |8 |& c" _
& i! f8 i7 f6 a: Z y
HOSTNAME_LOOKUP=YES #是否做域名反解
4 Z! e/ S( s3 ~' d+ _0 H V8 C
5 T5 j$ h, l2 b* o1 l6 n- V
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。6 `- Q! L% `; S) D$ X
( `+ Q K- X! H$ J0 V
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址 2 y& x! F1 f5 _8 _! B' s- K6 c
SMTP_HOST = localhost
V! f0 e8 E2 i R. c( e
SMTP_PORT = 25 7 F/ ~/ [; l- Z
SMTP_FROM = DenyHosts
& Q! ?. u& q( m( ^
SMTP_SUBJECT = DenyHosts Report. P! R' t' D4 @6 R5 W9 _
. y( N+ w! \% {$ S- c
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
7 J- `5 Y# R3 ^1 `# Q, t
+ K7 \3 H# `/ I) z) t4 j# D
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间
- @3 [1 s. u3 L; _! n9 N
8 D# l6 ^# b0 f
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间
1 S6 M$ J9 Y: b4 N2 I- ]4 T
, E% \2 ` `* ^( I
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间
+ n: ?2 h! x4 k4 b
; H5 |* h; g% H; \
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
# E3 }- r& B: E% u
8 u8 v5 A( x' B1 G2 O" I) J8 O
" p A9 X7 m! A F: {

复制代码

查看和配置 IP 黑名单、白名单
, G2 v2 S1 I+ |. R' T

vi /etc/hosts.deny //黑名单（拦截记录）
3 O, z' {5 i: p7 E2 u; k* I
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行0 K; H+ y, G8 a# b  R! x% ]
/var/lib/denyhosts/hosts
- w' M% T; x. u; ?( J  V$ G /var/lib/denyhosts/hosts-restricted
& t' _$ l+ J0 c( t /var/lib/denyhosts/hosts-root
; Q8 j4 a5 ?- E, c& O* w /var/lib/denyhosts/hosts-valid) i$ r4 ?7 M) \" f  r% w) I
/var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：
# ]0 L. ? J* o2 K5 @) \5 B) Z/ P# A $ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*
/ ~3 k# A1 e. Y% a 搜索结果可能有
, Z' L7 b0 o2 o% d /var/lib/denyhosts/hosts
8 M4 Y1 J5 I: s) a+ {/ a /var/lib/denyhosts/hosts-restricted( x! l$ K# [) x5 P
/var/lib/denyhosts/hosts-root
& J* ]3 }1 h5 B /var/lib/denyhosts/hosts-valid
0 |: Y4 z- j4 b6 Q! Y$ o: y /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到$ y* t" X% `8 T; B' p& \# x

/var/lib/denyhosts/allowed-hosts
5 d& R6 [* Z+ j: l8 |9 x

在文件中的位置大概在这段代码下方：
3 w! R. ~% B9 H; {7 o- J: V: R9 b

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁
0 h. E! \0 s& M3 P Q

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册