DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件4 g& R9 Z" q( M4 s; r9 t% O; F

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）
+ N/ w9 N, s q& t3 N

SECURE_LOG = /var/log/secure #ssh日志文件
4 H# ]- m/ r7 U6 ~: `' b7 c' j
; v' p0 q7 Z$ z- [ d5 R
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
: t* z1 I2 P$ F8 A& n" S5 G# j
, ^7 u: D2 Z$ X
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟 u+ g9 Y$ C) F( I$ D- ?# w
6 E4 R% Q1 H' y( Q5 ]6 i, ?6 w
BLOCK_SERVICE = sshd #阻止服务名
1 E/ O/ `% V5 P- ~
, r- x0 F4 e6 f4 Y3 Q- A
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要 : s$ p- X2 I% N# t
. m0 B2 K( t5 `7 q. X/ ~7 v
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要 * n7 ?0 N* O, E+ n7 L. ` f J" N
2 u! Z$ {) ]1 c4 J9 ]( E) S
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要
" s0 S' U5 G9 G+ t8 I3 m
4 a: I( O' a4 P
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 ; J( \8 Y F- N* a. N
: ^* f7 B/ f8 V
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）
# @5 [+ u, K% `8 t; I
+ p& M# ?2 O7 M& k: a
HOSTNAME_LOOKUP=YES #是否做域名反解
5 U& a9 s7 f& f m
2 p" ]2 t$ C, w% ~: @
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
1 Y/ \: a4 P( E2 z
# x. _( F' D% g% r) f3 h
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址 . `" I% j- ~. r6 p4 d, h
SMTP_HOST = localhost 8 y5 z0 ^' F- i5 x
SMTP_PORT = 25
5 c; t9 R: ~& b& c
SMTP_FROM = DenyHosts
$ U/ R; L4 J; m% v! K4 y
SMTP_SUBJECT = DenyHosts Report
4 J% g. B/ G4 d
! {; }! w0 H4 v: y6 f
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）
( f1 F! }3 E3 v, U- j5 P
# C/ X' |! n7 N+ `+ Z0 D! W
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间! \3 K+ Q' u4 w3 G* s; w
5 H, U+ L. R. e+ d$ c* T+ T. i) f
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间 V. F4 B% v9 n$ Z
, @) C' u( g: o7 B
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间4 H/ q* m" ?5 m% L
: c- H- v' v) b* L8 I7 {+ X
DAEMON_LOG = /var/log/denyhosts #自己的日志文件4 x: j2 ^, d4 n1 L- p5 A
/ C$ j! I: H; P* Z3 m J; A$ E2 \
: b4 u9 K* _% I/ y' P

复制代码

查看和配置 IP 黑名单、白名单
7 u& F, F$ }7 s4 d1 E B1 g

vi /etc/hosts.deny //黑名单（拦截记录）4 t# J0 V- z' z% W
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行9 A6 ^ C) t* I' r X) m; S' A. W
/var/lib/denyhosts/hosts
" R( F6 \% x/ U /var/lib/denyhosts/hosts-restricted
) y, y% o0 c( r5 e7 {2 X /var/lib/denyhosts/hosts-root4 u2 U6 N2 w1 B9 \; C1 U1 t
/var/lib/denyhosts/hosts-valid
7 r/ p8 n4 ]% O /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：
" b# I  z$ A% r, e, K $ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*3 Q8 p# u. Y$ B  `
搜索结果可能有
/ `9 |2 L% r; p5 u1 F( T+ v  D3 W /var/lib/denyhosts/hosts- w4 o- Y9 B4 E3 e) \4 ^" k
/var/lib/denyhosts/hosts-restricted
7 P  K  M) i: k- Z' k& `- i3 s /var/lib/denyhosts/hosts-root
9 @' J, O6 U8 F% E /var/lib/denyhosts/hosts-valid
1 |4 O/ u5 V# L1 s+ V /var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到1 |' D {8 J" ~& T, Y

/var/lib/denyhosts/allowed-hosts* u8 z- t6 H. ~1 \6 r! g, |

在文件中的位置大概在这段代码下方：& D# z5 E3 a% B! }* [) X; i

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁; t6 |$ ^3 C/ S p9 a, m m: ^

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册