DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件4 i# C! O% A- T0 K

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
6 E3 I, e7 E D; G9 u

SECURE_LOG = /var/log/secure #ssh日志文件
, [& B: w) B# F' F d2 e- Z
. b; L% ^2 |$ k1 |* ?* a9 w
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny- K9 K8 o$ j! ?8 _; f- ~
5 v$ l" Y, G/ ]/ f) |
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟7 E7 s( S* q: X" i. c
; c7 g" Y! p. k5 }, K- v
BLOCK_SERVICE = sshd #阻止服务名! M6 B5 w5 ]1 N: P' t: C
& t) j+ o" f: Y! S% r: D; i
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要 , _7 E! o }6 e
! v7 r" a* F$ X7 g3 b* B
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要 + ~3 K8 Q; R/ T5 H
2 w6 j$ o, C# y" G! M% J! K* l# @4 j
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
1 U% k, g. h( e
/ f; L# F0 u8 z5 t: H }
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 ' X+ y$ M1 }! [% i$ e2 a% R+ d
& I9 p: d" w6 e( H' w7 y: W
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）$ ^4 \, Z% |4 S( E! u0 O5 s
7 M( X8 a) }' l9 H: K# j
HOSTNAME_LOOKUP=YES #是否做域名反解
; Z8 I3 v) v9 b6 T9 U' x7 K
: j, `6 w4 n$ X( t6 \, l
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。$ B6 s! o. y1 a; S
0 l5 j- a- R0 v# A/ K# {& }
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
8 [0 T( e- i, @5 p7 E
SMTP_HOST = localhost / }" w4 C2 i: O/ [( J
SMTP_PORT = 25
% }- M# r( M% b- O S8 U
SMTP_FROM = DenyHosts 4 C; t+ j5 L" ]2 Q
SMTP_SUBJECT = DenyHosts Report& Z* m5 ^0 {) _. ~- M
8 P0 I- b" B% X! ^! [& @
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）% i5 S. ?7 |/ z# W9 j P I
: p! G* H; C2 D% |7 W
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间
+ {+ n* L+ m$ t! `* F4 u U; A
. |: B( J7 o$ l% r$ P
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间
( v! G7 m/ _/ }/ T0 X+ ^, \
" v2 y0 a! v: Q( R3 t I
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间
" A2 q! k3 ~7 w H* S3 y* }& K
6 F" w' Z) }" C) x; _
DAEMON_LOG = /var/log/denyhosts #自己的日志文件: D, ^6 A& ?4 `! B: j, \
; K9 U3 ~8 ?2 L- x
4 @4 _6 T7 o, y \5 O

复制代码

查看和配置 IP 黑名单、白名单* `" g( @3 w" x0 e- I* U

vi /etc/hosts.deny //黑名单（拦截记录）8 ], C1 U1 }% k
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行5 `+ e* `8 m3 t- W2 p
/var/lib/denyhosts/hosts/ f0 k2 [8 m: [( L, O% k3 t
/var/lib/denyhosts/hosts-restricted" C' m5 j+ p$ E/ R
/var/lib/denyhosts/hosts-root$ W1 Q9 n3 r3 P J
/var/lib/denyhosts/hosts-valid3 O' T; _( x5 V# q/ Z4 H+ m- x# n
/var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：4 a1 T" f& N! v8 }8 D8 F
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*( M' H2 x8 O: u: y) a' C' }# O
搜索结果可能有1 }( J3 ?+ e( |. X. `; N
/var/lib/denyhosts/hosts6 b3 c! Z) Y2 {6 g! e# n8 S" _# D( B
/var/lib/denyhosts/hosts-restricted& z( O! Z0 z' @) L' V% y
/var/lib/denyhosts/hosts-root
! {, R3 g+ K) G2 G" T9 b /var/lib/denyhosts/hosts-valid
% \+ H) {9 V1 a/ B /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到, {* E3 i/ _5 s0 l" Z. U

/var/lib/denyhosts/allowed-hosts
8 ^8 {8 ?7 b5 m: r9 A* i

在文件中的位置大概在这段代码下方：& H8 m* V7 h: {& M

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁
8 `9 }+ h; u: T

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册