DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件
5 L* H; Z6 y+ s# H0 {

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
% m, O: d. g) L O* y: A

SECURE_LOG = /var/log/secure #ssh日志文件2 t- `- _7 f3 s4 f
, }) V9 d8 y% _6 K1 V) F
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny: D+ c8 x% u) K4 s9 W$ a( ~; e
" p4 i$ l; d, k- N: Y3 R0 F( i
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
$ e9 h' w( v3 m8 Y7 a! z9 k
( f, [* O. X; f% y* v* |; w
BLOCK_SERVICE = sshd #阻止服务名& h& w* v7 Q* @8 w4 m
( G5 S. P X! G2 c/ P! G) x5 ~
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要 7 O! \! r4 e! z1 d$ c0 N
8 J4 w" y. p3 w) I
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要 ) G+ @" F6 H/ v& d4 ~
# A; A7 n4 [, \% _# }& t5 k
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
2 r! F% | a& B* a, q, K1 s
' v2 W5 i. }- G" z6 p& h" R1 B4 v
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 4 x- \8 F& X* \' T% O" o2 j2 y$ |
9 E! D N9 i; v
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）
$ E0 S: Q; L; S& I5 ^
@" i' d" r5 v' a" T# L% ^
HOSTNAME_LOOKUP=YES #是否做域名反解
% N: {' o4 j9 J# v
" c- E; R: A* _, T& Y% ]+ |
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。9 u: F) X5 q0 A& E m+ e( J5 ?! Q& n
6 O. w' y( E' _8 j
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
7 N5 [; o( g8 z! x/ A" o* w1 M
SMTP_HOST = localhost
8 i- n- p# i D" i
SMTP_PORT = 25
% T9 ^! t6 \* }2 G/ T. ^0 b
SMTP_FROM = DenyHosts 8 v# q; l3 `+ O7 p: y, [; P0 G
SMTP_SUBJECT = DenyHosts Report2 c8 e# }4 |+ P& W5 u3 R$ |! i7 o
R; z' V" c Y7 t1 Y
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）. S; X! |. ]' p$ C2 Q
4 a! o' Z }# A. o4 r6 }
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间+ m+ `+ j; [) J
+ ~5 D- t& r5 T
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间; S& | I6 I! i! L
5 z* I+ O9 U2 R8 ~
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间 S) z" g {6 P; M k& P% }
' E: z. F5 P3 f" g
DAEMON_LOG = /var/log/denyhosts #自己的日志文件8 X0 G; ~9 Y7 m0 L. V }8 V3 c, o
0 L0 d2 {3 L$ ]
& u- X. E( ~- w5 l

复制代码

查看和配置 IP 黑名单、白名单
9 o8 v( [3 V+ h8 G7 W

vi /etc/hosts.deny //黑名单（拦截记录）4 `6 j$ W( v$ r( x" `7 l
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行& G5 u8 A& V  M0 v& q; t2 C
/var/lib/denyhosts/hosts
( h& K! w+ m7 `6 j& S  d /var/lib/denyhosts/hosts-restricted
9 S; I% c6 p/ G& F+ |. m  y) j; U /var/lib/denyhosts/hosts-root
# P$ O$ I& V9 S' ^' o1 ? /var/lib/denyhosts/hosts-valid
0 w" F- W4 R5 D4 [$ x- N /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：  ?3 B+ `# W2 I7 ~5 F! r
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*% N6 Q, S- _$ Z0 f& s' l
搜索结果可能有$ c8 h, }: g( L& H9 I
/var/lib/denyhosts/hosts
6 R3 @' d+ b& n+ O" F- q3 v /var/lib/denyhosts/hosts-restricted
. d) }2 m( @8 _  W6 ? /var/lib/denyhosts/hosts-root
; m, F* [  J. b1 r /var/lib/denyhosts/hosts-valid! x3 m$ J" Q8 E: t0 D# r: t
/var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到
5 O' M* H! Y" Y' M9 m

/var/lib/denyhosts/allowed-hosts7 D: q7 {5 l5 M" o7 z. Y' a* g3 P

在文件中的位置大概在这段代码下方：
" p4 ~8 x9 l$ T, }% w! X

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁* c* a6 r; M! t2 A0 X# G

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册