DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件: \/ e- ^& [) Q8 h8 S& y/ _

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
# H* v/ O7 H/ }. d3 J# m) {* ?+ j

SECURE_LOG = /var/log/secure #ssh日志文件
' R4 q% t# r6 E2 ]# W
) v$ O) p3 X- f) @
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
# x& |/ m6 w4 P) s2 _
; s* J7 R: Z8 I5 p' S) J# F
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
5 _& P( X9 T9 y. v$ l5 @: ?
& s& o( f E% z9 o; A' Q" I' F
BLOCK_SERVICE = sshd #阻止服务名
: U, O: V [- C' s$ C
" R' q- j0 N+ L7 f+ {( p; U9 m
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要 % I- c, x4 k7 ]5 `1 Q, V0 P6 V3 X, h$ B
r% [; Q, s. g2 C& k6 G1 O
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要
; e" f1 ^4 x _- B+ u
8 X9 X% W% h( K n, [. B
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要 ) A& t4 G; f- v( Z
/ H# N7 B, L2 ]3 p
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 6 ^" @# t" w! ~ F; a3 b
2 x) Y5 O3 ]5 k
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）
% O2 v5 b5 t8 Y6 `
" t6 p" M2 N, D6 m6 G
HOSTNAME_LOOKUP=YES #是否做域名反解
% C$ C# l% D; a: T6 Z, ]
; [! R2 m$ v7 u2 ~4 x
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。$ Q1 X& f$ S# G0 O5 h! y
$ ?9 W. S& J( g% G6 x$ b
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址 1 _6 P5 z; r+ y: z$ ^
SMTP_HOST = localhost H3 v/ ] X5 \
SMTP_PORT = 25
' f: m1 n" g4 C* K. E5 t' i# f
SMTP_FROM = DenyHosts
' y4 y( I2 I: o* j
SMTP_SUBJECT = DenyHosts Report
# ^2 g7 n! O' E$ A
8 u) H/ U1 e q7 V: {) D- X
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
$ _' r6 B' M) A
5 C& I0 U, [) s1 h6 D' A. `
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间% Y( ~. g- Y( r7 k! v/ q
b; C1 d9 Y0 N" K
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间
7 p0 O' j# v+ V7 f" S T, K
' N/ S2 M0 P3 n6 O8 D) k
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间( M, ?1 l" v5 z" S9 X& b7 s! r: J- t
- D9 S2 a3 _9 H6 M, c6 C
DAEMON_LOG = /var/log/denyhosts #自己的日志文件( i! c' {; M: R8 \
+ u; M8 Q; Z9 K; {2 e1 Q- b
$ m, s- n& Z& W( ~, R, k/ O8 ^. W

复制代码

查看和配置 IP 黑名单、白名单
& X- W2 c1 T; d! A1 v

vi /etc/hosts.deny //黑名单（拦截记录）/ [/ Y' z' d$ Q# @
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行
# F) S' l+ r' f+ H. D( l# J* { /var/lib/denyhosts/hosts
1 b0 G- W0 c* l2 _" m  } /var/lib/denyhosts/hosts-restricted
2 @4 m2 Y; X; v# Q0 g /var/lib/denyhosts/hosts-root1 @  g2 Q( a8 B5 I% S3 `% A
/var/lib/denyhosts/hosts-valid
  D, ?$ p8 V. q; X* y! l! U /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：' [% H* l. R' F: D3 `
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*
8 @1 g4 ?, [0 Q3 H$ h! t 搜索结果可能有' H+ @; u( W' X3 A
/var/lib/denyhosts/hosts
: h0 J  Q* D: W% P' s /var/lib/denyhosts/hosts-restricted
& T. D1 a, a, }. l2 y /var/lib/denyhosts/hosts-root& ?9 t" h3 N- `9 k; N  j4 O
/var/lib/denyhosts/hosts-valid
$ e( B7 G& G* s  E/ X; I /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到; t+ M' u5 b' p5 g0 f5 C

/var/lib/denyhosts/allowed-hosts
' l% c! B3 O( K- A8 S

在文件中的位置大概在这段代码下方：
8 W! _* ]1 ]8 H

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁
3 C2 A* w% u% O* n

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册