DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件
. P( q: _& H) T% C

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）8 ]) S7 I* f9 ?) C: Z! |+ w

SECURE_LOG = /var/log/secure #ssh日志文件
! q E- |8 R5 w) R" a
4 r" V( J" ~5 s+ t- h1 @) e
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
( g! A0 ^& H2 H( V! Z$ u
" U D1 y2 b4 X2 r( F" b6 u
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟1 B' }& P, ^6 H, d; y; [
: Y- W' ?" n+ f
BLOCK_SERVICE = sshd #阻止服务名( d: f$ _* D4 I7 D; g
; J5 e% R0 J" ?, ~, V! m1 o
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要
/ y% A' }* S! r
8 ]! `& S8 C- d- r8 q( ]
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要
7 s, c0 _! ?4 O1 T9 ^. H2 M8 B/ b! g3 g
( A" V P% I0 ^2 X: W. U1 s/ l" A
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要 : ~! d/ D# z- T* ]
/ g- n4 e4 k- c6 K1 t& U1 W
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 8 X# Y# v* M' I( y+ r/ M: f
8 ?% |2 v o5 O
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）3 l( \4 F& b' j: I) l" S5 R M
) \0 X3 H7 [. x6 o) w7 \& R3 m0 Y
HOSTNAME_LOOKUP=YES #是否做域名反解8 B8 l7 G1 w# Q9 G& H
4 y( m) C8 u2 K2 G+ ^3 {4 `
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
4 b: c5 W; n+ D- F: Z/ V
5 F/ ~/ `7 o8 V) M) l8 W* V
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址 4 Z2 Q: Z" {% j: d5 ]# q
SMTP_HOST = localhost . \9 V+ R- c' O7 w6 m9 Q$ R0 [, S
SMTP_PORT = 25
$ t$ o5 o3 \& C( d( @% t' x
SMTP_FROM = DenyHosts 2 {3 w6 A0 a8 }& W
SMTP_SUBJECT = DenyHosts Report9 ?( H8 H0 A4 A- f5 y
/ l* R1 a* i, q7 X
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
& U* t y$ S1 Y2 H8 q, z
B7 F4 _1 i8 A1 W- d/ {
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间6 X h# B1 ]7 j2 j8 @' u* b
! \0 G; b2 l/ @# p
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间
9 @9 ?9 }1 B( g( }# y
7 x6 C# h% s2 ?1 \2 S0 o; Q
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间5 X- f& d) @) P6 Y+ N; C5 c
% r' @/ L/ h* x' J3 X! @
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
- w7 {% q, C5 b& I. Q+ U
; h' L+ k5 R- P- I! [
% _$ K5 U" J6 X l( N6 n

复制代码

查看和配置 IP 黑名单、白名单
0 e1 p2 g9 u) j, L+ o

vi /etc/hosts.deny //黑名单（拦截记录）
, i3 J+ G( C, H) j- A# M6 p& h
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行
9 l F9 n) r! c- W+ v( t7 L9 A, F /var/lib/denyhosts/hosts! b8 U% c3 J! _+ t. W8 {! `
/var/lib/denyhosts/hosts-restricted
( @/ c. p5 [( G/ ? /var/lib/denyhosts/hosts-root4 C# K" M8 a; F* \) b/ v3 C
/var/lib/denyhosts/hosts-valid/ N) S4 p' u$ G6 D: ~
/var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令： q, a! D& ~& i/ F
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*: E0 J! V3 G& E: |
搜索结果可能有- y2 c K" w) W- S5 c# c
/var/lib/denyhosts/hosts
; s# o% B; K* }, d( a /var/lib/denyhosts/hosts-restricted
4 B# Q2 {9 H; r" ^6 B: O+ I8 M /var/lib/denyhosts/hosts-root
: D" M5 B. U' R5 R /var/lib/denyhosts/hosts-valid4 m9 |& M6 I1 i6 Z& i/ H3 n
/var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到3 j ]- B# {* p" o. H

/var/lib/denyhosts/allowed-hosts
% g2 j0 [+ @ Z! e4 q

在文件中的位置大概在这段代码下方：5 `$ M! w6 {, |( V

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁, O6 W4 F0 v; n6 v+ R0 l

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册