DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件7 I. v; o3 W1 ?6 Y7 {6 r

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）; {3 K" D" k5 [

SECURE_LOG = /var/log/secure #ssh日志文件- L: Y+ Z( h* J9 |
' |* P* w" D; @: i
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny. U" r4 J7 `( s& F- Z
, t3 W3 _) C9 S q% H
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
9 H5 |3 H, j: V8 M- t4 ?0 W1 y
# E+ x3 V: ?. _7 |3 v& `
BLOCK_SERVICE = sshd #阻止服务名; Y) @5 @7 V5 ]$ u' R& \2 ^
( j6 j& v A% @. M( M( A
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要
2 I+ Y- m) t. ]& Q
* ]9 a" c& e, L7 u3 J# s; p
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要
" \) Q7 E. S( E3 N- u" R9 ~
) [5 P# A) ]. D
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
) f# F" d0 h# A+ T1 H" a
2 H. `" ? P* t" f
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 ( W! D& K, \6 @9 Y) o% D
7 e- G! X$ {' k$ {5 m. k, W9 Z
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）
2 e& D& `/ K( g$ b; a" w
3 [0 v/ P. }* s) w+ Y' [+ V
HOSTNAME_LOOKUP=YES #是否做域名反解# M5 g# }( ^9 ~1 P, X
/ m/ R' H0 z& B" {1 }2 z
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
) x) [* q1 a l7 V2 W2 j- s
1 D2 e; l6 V9 m* g
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
& ]9 D( X; W( ~
SMTP_HOST = localhost
' h7 ?# j/ W& J K3 p+ h' \
SMTP_PORT = 25 0 G+ D I; i2 l$ c+ ?+ W; F
SMTP_FROM = DenyHosts , D' o$ o2 ] n# p0 V. U! v, B/ f
SMTP_SUBJECT = DenyHosts Report# k0 j, x/ n3 V/ s) G
* D' |& \1 Z$ N' f( U+ Z
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
3 Y b) n+ C. {& e$ c, {9 {$ L. T
$ z; W5 V1 m& d1 C6 J4 [. u: G
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间
, U% T: m, N: ?7 m2 k- _! U n
9 R2 @- B$ K5 ? A
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间
% A1 v) B( x- `
: g( Z% @" W5 V7 l, J
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间
& G( h5 a+ a* x; V5 G6 L* C! r
. B: n3 [& }) m7 |
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
3 @# _# Y! e. F" h4 m, _. F
9 ?2 @0 g$ N! G3 y9 l9 O
3 M8 z3 S, S# N- w4 p! T+ v- M

复制代码

查看和配置 IP 黑名单、白名单
! r! S9 W% y& g- \

vi /etc/hosts.deny //黑名单（拦截记录）) c. c! g) Z% t. k. E1 x& b9 C
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行6 G+ F: J3 @/ C: S. K# }6 p8 [+ K
/var/lib/denyhosts/hosts% N3 G* B% N) I
/var/lib/denyhosts/hosts-restricted
/ p6 b! a2 _6 r$ d2 W* I+ ] /var/lib/denyhosts/hosts-root0 b4 d" Z( r7 d# g
/var/lib/denyhosts/hosts-valid
6 X% f/ R* c+ K/ n( k /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：
" T6 F, H/ ?. L6 \. t' J $ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*& z9 |) L" \& u, [$ {6 y) i
搜索结果可能有
! V0 Q  |' K, X- E' F0 B: T /var/lib/denyhosts/hosts
8 _" |$ b" X$ Y0 n: {5 r /var/lib/denyhosts/hosts-restricted
/ }6 W: I0 Q: u/ B* |  ?7 o /var/lib/denyhosts/hosts-root0 ~0 S/ ~- N9 d$ {% Q
/var/lib/denyhosts/hosts-valid$ Q/ M0 W& r  b9 t1 R% l
/var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到+ l; j' ~4 h( G

/var/lib/denyhosts/allowed-hosts
( u. `, Q4 }1 X/ Q. R5 B- X+ c9 J( X

在文件中的位置大概在这段代码下方：1 M% s2 t$ G% s6 j2 J, |6 J

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁( r* d8 F% }; R

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册