DenyHosts是Python语言写的一个程序,它可以分析sshd的登录日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP阻止SSH密码暴力破解的功能。
本环境为centos6.8 final
安装
# yum -y install denyhosts
# chkconfig --level 35 denyhosts on
配置
# vi /etc/denyhosts.conf
############ THESE SETTINGS ARE REQUIRED ############
SECURE_LOG = /var/log/secure
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 1w #过多久后清除已经禁止的,其中w代表周,d代表天,h代表小时,s代表秒,m代表分钟
BLOCK_SERVICE = sshd
DENY_THRESHOLD_INVALID = 3 #允许无效用户失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 5 #允许root登陆失败的次数
DENY_THRESHOLD_RESTRICTED = 1
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/lock/subsys/denyhosts
启动服务
# service denyhosts start
解绑
1).解锁特定的IP地址
# vi /etc/hosts.allow
在末尾添加解绑IP地址
sshd: 212.237.2.160
2).解锁所有的IP地址
第一种方法:停止denyhosts 服务
停止denyhosts 服务,那么所有的IP地址都会被解锁。当你重启 denyhosts,如果这些异常地址的发生时间仍然在禁止时间内,那么denyhosts会重新将这些IP地址禁止。
第二种方法:日志滚动
# logrotate -f /etc/logrotate.conf
查看/var/log/secure有无被清理,如果没有,手动清理
清理/etc/hosts.deny 文件
重启denyhosts
#/etc/init.d/denyhosts restart