DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件
) h, u2 U! G, q h. \

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
" H! g2 c* n5 P4 i; @" u

SECURE_LOG = /var/log/secure #ssh日志文件3 c9 s4 y" A1 k
0 L# ^5 J4 T- }- ?
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
e' ^2 l1 P" H+ g+ A+ X1 C
& q- t; Q; R* P/ o$ X; \5 |
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟7 D, ~" I2 P1 _/ ?3 @( I( l
, B. C' B5 \# {3 p
BLOCK_SERVICE = sshd #阻止服务名* _: _& Y% f* h$ l- Z
( R6 u# {6 g& K* P! E% o
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要 % s$ m$ t( C. a# \! x' Z& O) x7 F8 R; n& U* R
2 Q( q+ p) s2 y$ O5 {( D1 I0 w4 ?
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要
) c4 V; s0 `5 _' i6 |1 \+ K
! {8 _1 s+ z; @/ M) r# l
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
: w) I4 j* J3 i1 \. a- U, c
% n# t, B3 w1 P8 A) ?
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 " v4 s) o/ F+ s6 }
! e" e2 M3 w# a) F- W9 A3 E% N
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）8 \; y; O* Y' J3 ]" ]: {' P
2 F& N3 N* b9 s: ^0 z7 f7 ?
HOSTNAME_LOOKUP=YES #是否做域名反解
4 _* i( I' W- ^ ]6 @5 ^
8 N5 o4 j: }0 k# ?6 m
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
. {# [( H% y5 v* z7 p
' ^! e; ]% s! r. z+ ?3 z6 L5 _' P+ o
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
6 k5 y! b6 J6 z% _$ d, W. c
SMTP_HOST = localhost . y) d/ c- h! M0 O4 a$ j! c3 Z7 a1 f
SMTP_PORT = 25
8 z* S7 |9 ^3 O% a$ c6 @4 k
SMTP_FROM = DenyHosts
) B( @! v j2 k- i! n$ Q
SMTP_SUBJECT = DenyHosts Report
3 {. S# |" D& b6 H$ M) [( P
! s% ^* ?, p0 m; A
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
- g; W% Y% y/ }3 r! W4 Q
+ T2 D8 H3 j3 O
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间! K# e( M, ^. f7 H4 ^
1 p" ?2 g6 x. H! M: W0 @' i
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间& I7 h* Y) [! b% q* l, g0 p. Y3 W
# v1 s) \2 r+ v" ^. b( \
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间4 h) P! T0 x P& T4 |9 v% h% q
& O# z& s# O, C
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
, y7 M3 ]. a1 Z4 M. x: H, {
5 P+ m; ^0 Z3 t) ~: p |5 H; p0 \
. U" Z& A/ n2 V& t

复制代码

查看和配置 IP 黑名单、白名单+ p6 P! T& r( K- }2 X' P

vi /etc/hosts.deny //黑名单（拦截记录）
# O1 x0 L1 T* ^3 ^0 Y5 W
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行( M1 E4 u$ p& Q) @. V# i
/var/lib/denyhosts/hosts
& @0 M7 A, i2 `0 M /var/lib/denyhosts/hosts-restricted& t" i( v2 I- R. g! J! e1 L3 I; R
/var/lib/denyhosts/hosts-root3 l: [. m- M) m |
/var/lib/denyhosts/hosts-valid
- F3 G5 k( D# @" w /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：1 S5 M5 j$ M. n2 M  C& D
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*
; E% ]) @2 g( z& { 搜索结果可能有
( B+ h4 k2 m8 [3 L4 U /var/lib/denyhosts/hosts
$ {3 m# {8 l6 m6 l  u /var/lib/denyhosts/hosts-restricted
. R) w, ~0 K6 q /var/lib/denyhosts/hosts-root
% T7 O8 r) P# P* M, R+ N1 N. h /var/lib/denyhosts/hosts-valid# |& Z- ?7 W5 ]. l  E
/var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到
" k3 d5 e' _: P# v, b

/var/lib/denyhosts/allowed-hosts
" X8 C+ L0 r+ i5 T" }

在文件中的位置大概在这段代码下方：
, n c3 |0 e1 d* S g4 j |' F% S

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁
% V$ I; J. |+ L5 R S! o) e2 \

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册

DenyHosts让你的linux服务器少受点攻击

浏览过的版块