DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件, x0 T3 }- f* O; ^ Z' S2 y# u9 ?

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）5 F' ~4 L0 g1 m* b- k( X, e

SECURE_LOG = /var/log/secure #ssh日志文件# X2 y& R5 p+ K, c
! T5 n* M$ \/ h# l2 U
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny; K* L( x) W7 n2 E2 ]; P
: @& V! O G1 n, a6 d& g$ \
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟; N8 \2 L) m/ k L$ I5 D7 m/ P- O
( Y0 O% B2 q0 ]/ M6 h7 S/ A
BLOCK_SERVICE = sshd #阻止服务名" r/ P% L. j- T: x7 S7 x
" D1 U; [- k% ?
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要
6 m- _2 ^* @' z
4 {- h5 J" U2 `, N$ u
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要 9 c; @0 g4 U' V
0 t- _2 h: n/ S6 j
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
9 g) T# w" l% Z& z
+ D$ }7 a/ G" Y* d7 `8 F
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 # m) Z# G" v% }1 |( B7 z
8 N$ t& f) F4 i) \
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）
/ S% J; e; j+ D' a |+ }+ C. r
/ [/ R! {5 I# \$ t7 u/ y: q, D
HOSTNAME_LOOKUP=YES #是否做域名反解% u& W1 E- G4 y" T5 |8 |1 t3 U" Z
8 @3 H8 w# _6 k' S$ e
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
% b" C Z3 r4 k
$ N2 v! Q; ]9 H: y9 M b
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
& O- \% @, l' B9 }4 w5 ~1 j; O
SMTP_HOST = localhost 0 P# a3 p3 m# \& y$ d7 _
SMTP_PORT = 25
: ^* D) d+ n T: Y- n a/ S# L
SMTP_FROM = DenyHosts ) \/ g6 S1 t5 U# A- _' v
SMTP_SUBJECT = DenyHosts Report8 a1 G2 d+ e' W
2 m, E5 N( V) R- _% T3 S
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
: c( r0 r o% q* l& q7 A: ?
) N) }$ Y- P O5 s" ]! {
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间- e* W( T2 K" N1 f/ Z
- E" ^. ^" M, w. z( q8 X+ _
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间 T. ^+ W6 f6 p# o
4 P& U. ?$ T8 Z+ L. j8 W
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间/ Y% k$ r$ K& ~
) e8 ?3 P f! N
DAEMON_LOG = /var/log/denyhosts #自己的日志文件; N2 N: w, [9 i- I0 q
3 {' V1 B* o0 B, O% o# P
5 r4 K1 j t' g# O" L0 Q* L" e

复制代码

查看和配置 IP 黑名单、白名单* O! F% c! I- c1 Y) ?* u7 ~6 ^

vi /etc/hosts.deny //黑名单（拦截记录）$ W& N& ?, a& N. Y
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行
' t. r' {' G! G" ?, B$ n; p3 Y /var/lib/denyhosts/hosts
2 S7 P' P, G+ }6 a* W$ x7 c" }( p0 B4 ` /var/lib/denyhosts/hosts-restricted
. v0 C: i/ w# Y" G2 m7 d /var/lib/denyhosts/hosts-root
! p: [; h3 Y( a) \% Z /var/lib/denyhosts/hosts-valid {( Y( r, q5 n; W0 b3 u i' t" N
/var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：, M/ e; x" j% f8 h8 m
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*
0 H/ Z) T9 p# o 搜索结果可能有
/var/lib/denyhosts/hosts
C8 I: t, G5 @ /var/lib/denyhosts/hosts-restricted
& U* c6 z2 {; a# y5 G' _ /var/lib/denyhosts/hosts-root
" [! o& ]% X+ X, s' y: f# e2 r /var/lib/denyhosts/hosts-valid
, y/ o3 c0 m7 \, T& O /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到( w/ m( ]7 G1 _

/var/lib/denyhosts/allowed-hosts8 [) e. a5 G* i9 t# g$ I! e

在文件中的位置大概在这段代码下方：
8 G5 B) _2 L3 |% O8 a8 C

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁
9 ^0 {" n/ u; Q+ S

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册