DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件) G: B$ ^* }% I! Q2 X u

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
! q$ Y6 W# a. O& L, |) Z7 l

SECURE_LOG = /var/log/secure #ssh日志文件
( r, W; v+ J# h( E
! n2 _( h/ L, m* _* @7 K
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
! G T) K1 q/ a/ ]6 s
% @' K5 C3 t4 t6 F
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
2 u& D. C& ?% J9 o. _: x
' E: T' X& Y$ ~ S3 N- a1 ~
BLOCK_SERVICE = sshd #阻止服务名
+ F6 @ f7 Z9 q, v6 W
, x! m1 _" g7 K) u" A. b1 B o2 X
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要
5 z/ U: J+ h/ ]& @. m* N8 b
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要 $ m* g( ~% l+ _4 x
- q: L+ r# e( r0 S9 K- n
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要 9 U8 t6 W( w; a2 E
! N7 q! S0 C0 y$ c
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 $ X. i5 B' F4 s6 i$ _
' ?9 b7 P+ d0 x+ r
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）* g. ]! k3 G- F( q$ [; l/ G9 J
* }2 }; w! u1 L4 {
HOSTNAME_LOOKUP=YES #是否做域名反解
/ ^" ]2 d+ K, V3 {9 }. J
- H" i9 S% a. {% n, j! P0 C
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。' y I0 F; M# c1 Q' I# s+ w
& V1 K4 A, \9 n9 c, P
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
; [$ p5 n3 z$ s) u8 A5 A. {% l
SMTP_HOST = localhost
B3 l* f" q9 x
SMTP_PORT = 25
. ?& X: f" Q1 k: j' `7 b5 Z
SMTP_FROM = DenyHosts : b9 [, ^; v- A u4 O
SMTP_SUBJECT = DenyHosts Report, |$ r( k4 {8 d% m1 |$ B! |
$ b) t1 Q3 @- Q7 `& i
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
4 R, |) E9 t: t4 n
- ^2 z; ? u% N4 Z2 K% L
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间9 x7 z2 I& ~+ q& w3 e0 O
5 o, W0 h7 X" v& c% Y
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间5 A! D' E, [8 }3 M5 y4 g. N
: w9 k7 e4 [- a7 \+ U4 F' J, ~) k& N% n
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间/ |- B8 ?5 t% A+ ?0 X, k5 j9 _ U
& N: u9 B, _0 B( Q
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
1 J) S- l1 p, K. w+ K
; ]5 G6 s* m* o J0 q. ]2 U" |5 P
L- J t" E" ?" A

复制代码

查看和配置 IP 黑名单、白名单
2 n8 k3 e! H9 p g5 v6 q; X' }

vi /etc/hosts.deny //黑名单（拦截记录）
6 y8 m \& b0 c6 D( N# B9 Z
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行
$ N/ u! ], f. u: m4 c7 m /var/lib/denyhosts/hosts% I# t! M$ h1 o6 ?8 d
/var/lib/denyhosts/hosts-restricted* n* u2 ^" z* F" [5 L; r6 R$ q
/var/lib/denyhosts/hosts-root
, Y+ J9 o5 f) {9 U. a /var/lib/denyhosts/hosts-valid
O+ l" A7 A0 A /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：8 h9 m" T2 R: w$ z3 n4 d7 p
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*# `- x# s! r% R) t" D4 _1 K3 L
搜索结果可能有/ f( C( k% Q; |4 o
/var/lib/denyhosts/hosts
: ?: }* h, ]- m! `0 V /var/lib/denyhosts/hosts-restricted
4 {3 s5 d2 U# I! g- B! }0 K' A- r /var/lib/denyhosts/hosts-root, N r. G9 Q& j7 k! E) U6 s! E4 Z
/var/lib/denyhosts/hosts-valid
5 A) j* \' |/ U+ \6 U3 V /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到
( L) {+ e: u4 a" `0 I

/var/lib/denyhosts/allowed-hosts/ d8 ~& i1 u. I* v

在文件中的位置大概在这段代码下方：9 d: L) {7 R6 j: u! U" Z( \

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁 q' s# O8 G4 v( n8 U2 E

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册