监控系统安全日志来分析是否存在对OpenSSH的暴力破解行为
如发现暴力破解,则从该系统安全日志分析出来源IP地址
然后通过在/etc/hosts.deny中加入相应的条目来使用TCP Wrappers禁止该IP地址的后续连接尝试
核心配置片段
SECURE_LOG-日志
HOSTS_DENY-封禁IP
BLOCK_SERVICE-指定sshd or ALL
DENY_THRESHOLD_INVALID:指定次数封停(不存在的用户名)
DENY_THRSHOLD_VALID:存在的用户名:指定次数封停
DENY_THRSHOLD_ROOT:root账户的暴力尝试,指定次数封停
HOSTNAME_LOOKUP:指定是否启用来源IP到完整域名的解析