DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件* O; u0 K$ `8 w& [. e+ J

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
+ r" h+ Y6 k" l; G! ?2 \

SECURE_LOG = /var/log/secure #ssh日志文件
# E; l! }6 e5 X9 b! `2 b2 a
; V6 I" Q4 i N. ?4 `
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
8 X+ g/ V T- L9 I2 V; U6 B
. k; U2 T8 [' H: C; k& W4 v- q
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
' T8 ]7 [% C2 ^: a
/ S8 e6 ^/ q* T. s
BLOCK_SERVICE = sshd #阻止服务名
g% S9 p1 e! n' l
& U& }. p, W( M$ N+ L
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要 0 Z7 `4 L# O* S$ [) p3 k
: | ^5 M3 e' _- f( g" a) V
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要
5 v/ D4 g, ^8 Z4 \9 w2 N( ~
: y1 _9 D. g/ c) {
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要 ! P1 e% b( {- N4 M+ @2 C& ?
, M8 g# l! L0 X. p* i$ R
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 & m* o, A0 @4 f: j3 k+ c* v
$ x, }# S1 ]' o& h$ f* @
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）; `- s1 n- d Q% \# s. {: b
' h! n( |) \' {8 s) x9 J/ C* V
HOSTNAME_LOOKUP=YES #是否做域名反解# Y; l4 e; D' Y
4 f9 o! R' K! X( i
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
% a, G; k' [3 x$ K
# j7 I3 o+ f# b8 n+ q
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址 . Y% \* ?5 w/ s! P6 b9 h& Q- u
SMTP_HOST = localhost $ G9 ~3 o' y5 s t6 `/ J7 s
SMTP_PORT = 25 3 o8 o' Y/ [* W) z
SMTP_FROM = DenyHosts 0 M4 d9 l* g# \; A
SMTP_SUBJECT = DenyHosts Report6 m1 O" ^- B$ U
* [* S5 L5 |+ z1 s
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
# o f7 P9 R7 J: a B# M
2 C' u/ ^4 Z1 C5 B
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间
& E6 S9 E/ S& b1 u6 ^
/ V4 n/ S8 a: E- l5 v3 U
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间
, j3 f( c* W5 U4 T; \0 U
3 w7 j, g3 M. r/ u. J2 B
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间' i6 p- Y8 f+ ]. A
1 x! q+ F. p! [8 x1 S2 M) B
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
( X* ^- V4 P. m; [" `. z/ f
5 Z: u4 T% _7 f5 L$ Q/ K7 D, ^
' y$ [# P3 N4 u

复制代码

查看和配置 IP 黑名单、白名单5 r$ S# f$ T* k1 i# o# ~+ A

vi /etc/hosts.deny //黑名单（拦截记录）
1 Q1 T2 y* L8 \: E
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行" i3 y, A# `* E7 n9 o0 m# t
/var/lib/denyhosts/hosts. A- @2 C6 Y1 j' a, u7 C# {: N( w
/var/lib/denyhosts/hosts-restricted
* j8 a" h) D6 K. c+ ]8 ]+ X8 v7 _$ U /var/lib/denyhosts/hosts-root; R( i$ U: n& b
/var/lib/denyhosts/hosts-valid
, `' v. @2 p+ f! l! x3 [4 R /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：' X/ T/ D) N4 `8 ^
$ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*& p+ `3 ]" O" T6 f/ J+ r9 \0 v% ?
搜索结果可能有/ t$ e% e s" p4 ]8 F K! l8 P; B4 ?
/var/lib/denyhosts/hosts
& ^! [+ [8 s& s2 u( J% p /var/lib/denyhosts/hosts-restricted
% U) d0 o' X! K3 M6 i: i3 L% d /var/lib/denyhosts/hosts-root% Y5 ]4 |. u/ S5 w! }0 p9 l) [# w# |
/var/lib/denyhosts/hosts-valid
! ?7 k3 P( O' E7 _& G1 M8 t# v /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到+ t. E8 c$ g/ Z: E8 v0 b$ Q

/var/lib/denyhosts/allowed-hosts3 [& v/ U# O) l

在文件中的位置大概在这段代码下方：
* l" X4 Z: h& ~

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁7 U T- ^4 N9 k2 v: L$ f

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册