DenyHosts让你的linux服务器少受点攻击

myskya · 发表于 2020-3-8 22:50:16

DenyHosts 是 Python 语言写的一个程序软件，运行于 Linux 上预防 SSH 暴力破解的，它会分析 sshd 的日志文件（/var/log/secure），当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏 IP 的功能。

使用安装我的 Linux 版本：CentOS 7，编写这篇博客时，DenyHosts 的版本为：denyhosts-2.9-4.el7.noarch
如何查看 DenyHosts 的版本？使用命令 $ rpm -qa | grep denyhosts 即可查看。
使用以下命令即可安装 DenyHosts：

yum install -y denyhosts

复制代码

配置和使用

打开配置文件5 u( O& L* M3 T4 u; E8 ^0 ~

vim /etc/denyhosts.conf

复制代码

然后配置 DenyHosts（有默认配置，可以按需修改）' f- w5 U# {9 `& ^! e6 d

SECURE_LOG = /var/log/secure #ssh日志文件8 D1 O3 y: n: Q$ d. v3 l
9 Y. a! d7 C4 S4 w4 R
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
7 ~% w' [5 h3 t4 R* C$ A; p& N
- L+ |% a# D8 n2 c
PURGE_DENY = 4w #过多久后清除已经禁止的IP，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
4 l; A9 B9 n& Y, T9 f0 e
) t3 u/ E L4 A9 u& K7 R: ?
BLOCK_SERVICE = sshd #阻止服务名
2 J1 r9 l& [3 V J7 N6 M! b
C" r+ K3 k3 S! {5 x; e
DENY_THRESHOLD_INVALID = 5 #无效用户名限制登陆次数。 // --> 主要
) A* V- K6 S" ]. G
# j% ?7 I p* U! b+ T
DENY_THRESHOLD_VALID = 10 #有效用户名限制登陆次数。 // --> 主要
1 A/ N( r* F L. i
3 i$ {6 @7 J0 j( M- S9 p7 |
DENY_THRESHOLD_ROOT = 5 #root限制登陆次数。 // --> 主要 4 |+ V3 z" L( e2 C
# G$ j* R- B5 M: W; D5 s
DENY_THRESHOLD_RESTRICTED = 1 #受限用户限制登录次数。 // --> 主要 ( J+ r! d1 ^7 K( {" r9 W
, g# _3 X/ G8 b
WORK_DIR = /var/lib/denyhosts #将deny的host或ip纪录到Work_dir中（限制过的ip和host存下案底，列入受限名单）
& B0 a0 a' W# _7 U1 C: p$ Q. p
& a5 G8 ^# V5 R9 y2 U) \
HOSTNAME_LOOKUP=YES #是否做域名反解
* h( {& I2 J* N5 f! e* T$ q7 W
2 g ]' j( M7 Z, s F& ?. [* n/ H
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
* [5 U' Z$ d% q; h( ~& \6 Z7 I
$ m6 K) s6 |& I# @, ~& ?5 b
ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址
. j4 T) P3 E: e8 U
SMTP_HOST = localhost ( q7 ^0 T1 b) ], p* l# M. ?
SMTP_PORT = 25
# D7 s! A3 K1 k
SMTP_FROM = DenyHosts ) K' j1 s, `/ U- c9 n( O
SMTP_SUBJECT = DenyHosts Report6 Z Q& g1 U$ }: Z4 s
$ ]' T( B+ M/ J
AGE_RESET_ROOT = 1d #root用户登录失败计数归零的时间（1d：1天）( S2 n* Q; h! b* r" f! a7 a( K
# D8 s) B3 u" Q/ z9 @
AGE_RESET_RESTRICTED=25d #受限用户的失败登录计数归零的时间* {3 b" c$ B" l
- D) e0 Y5 U; G P; V4 `
AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间5 h7 l0 ^+ @5 g* f; c+ {* y; r$ n
9 W0 q7 i" r. i& [5 j0 h, J
AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间
# z( T ^7 I5 \: b* K- [( t4 a% A2 [
6 {0 O% {: e# ]( T6 G( q" B
DAEMON_LOG = /var/log/denyhosts #自己的日志文件* R$ z4 u9 j: m% a
+ F8 E2 s7 C6 u! d% B
3 y& a$ {3 r# ]7 r: N# F. h

复制代码

查看和配置 IP 黑名单、白名单( m3 {: z4 s$ a% i- k% F8 }) z2 Y

vi /etc/hosts.deny //黑名单（拦截记录）9 L I2 d$ ~8 z4 w
vii /etc/hosts.allow //白名单

复制代码

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：

1、停止 DenyHosts 服务：$ sudo service denyhosts stop
2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP
3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行
) r! D0 p' a' s. ]4 N /var/lib/denyhosts/hosts
" m7 C" E4 x) d; D$ ` /var/lib/denyhosts/hosts-restricted3 `6 i& S; Z) Y" x
/var/lib/denyhosts/hosts-root" }# w5 b) y/ V G, i4 x N
/var/lib/denyhosts/hosts-valid
8 a* M d3 I2 O1 d! s' e2 R /var/lib/denyhosts/users-hosts
不知道有哪些文件包含了这个 IP 地址，可以使用以下命令：
: A3 b7 U9 X- H& ^5 m( l# j. } $ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/*: l5 {, l: y( S* B1 y; S2 x9 ]4 z
搜索结果可能有# a; r- h$ U2 U: |" J
/var/lib/denyhosts/hosts. n& Q2 \; o& u6 c7 ^- d+ ~# p
/var/lib/denyhosts/hosts-restricted
! c/ h+ @: }; p8 N6 O /var/lib/denyhosts/hosts-root5 `- u2 H. J7 ?* k% ^
/var/lib/denyhosts/hosts-valid, E$ b3 p, p, g9 i9 ?
/var/lib/denyhosts/users-hosts
4、添加你想允许的主机 IP 地址到
* }+ ^$ i0 A: @0 g4 {+ Q) Y. l ?7 u

/var/lib/denyhosts/allowed-hosts* W3 ], h! [' G3 K

在文件中的位置大概在这段代码下方：
+ i# S6 D& T Z9 Z |

# We mustn’t block localhost 127.0.0.1 *.*.*.* //你想添加允许的IP地址

5、启动 DenyHosts 服务： service denyhosts start
6、如果不想自己解禁，可以等到一个重置周期后，自动解禁
/ V- u& y0 e' y. f

myskya · 发表于 2020-3-8 23:37:01

临时记录
https://www.cnblogs.com/l-hh/p/11204251.html

myskya · 发表于 2020-3-8 23:39:21

另外Centos7以上版本可以使用Fail2ban

		自动登录	找回密码
密码			立即注册