安装DenyHosts

最新推荐文章于 2021-10-25 23:02:52 发布
最新推荐文章于 2021-10-25 23:02:52 发布
阅读量770 收藏 3
点赞数 2
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lijunwyf/article/details/104779368
版权

当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描)。如果遇到这个问题,一款非常有用的工具DenyHosts可以阻止试图猜测SSH登录口令。DenyHosts是用Python写的一个程序,它会分析SSHD的日志文件(Redhat为/var/log/secure等),当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。

另外,建议修改默认的ssh, mysql等常用的服务的默认端口号

 

1、检查安装环境:

1) 判断系统安装的sshd是否支持tcp_wrappers(默认都支持),命令如下:

ldd /usr/sbin/sshd |grep libwrap.so.0

如果有输出:libwrap.so.0 => /lib64/libwrap.so.0 则为支持

 

2)判断是否有python(centos默认都有):

python -V

只要系统Python版本不小于2.3版本即可(本机版本为Python 2.6.5)。

 

2、安装DenyHosts

1)下载DenyHosts-2.6.tar.gz并上传到服务器,

wget http://imcat.in/down/DenyHosts-2.6.tar.gz

2)安装

①解压

tar -zxvf DenyHosts-2.6.tar.gz

②安装

cd DenyHosts-2.6
python setup.py install

 

程序脚本自动安装在:/usr/share/denyhosts目录

库文件安装在:/usr/lib/python2.6/site-packages/DenyHosts目录下

denyhosts.py默认安装在:/usr/bin/目录下

 

3)设置启动脚本

cd /usr/share/denyhosts/
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control

 

##将denyhosts.cfg-dist中不是以"#"开头的行,写入denyhosts.cfg文件, 命令: grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg

 

编辑denyhosts.cfg 命令: vi denyhosts.cfg

 

具体配置项可参考以下的配置:

############ THESE SETTINGS ARE REQUIRED ############
##分析源文件
SECURE_LOG = /var/log/secure
##禁止sshd登陆的IP存放文件
HOSTS_DENY = /etc/hosts.deny

##过多久后清除已经禁止的IP
PURGE_DENY =  7d

##监控的服务名
BLOCK_SERVICE  = sshd

##表示允许无效用户登录失败的次数
DENY_THRESHOLD_INVALID = 3

##表示允许普通用户登录失败的次数
DENY_THRESHOLD_VALID = 3

##表示允许root用户登录失败的次数
DENY_THRESHOLD_ROOT = 3


DENY_THRESHOLD_RESTRICTED = 1


WORK_DIR = /usr/share/denyhosts/data

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES

##是否做域名反解
HOSTNAME_LOOKUP=NO
LOCK_FILE = /var/lock/subsys/denyhosts

 

4)将denyhosts添加到系统服务并自动启动

①自启动

vi /etc/rc.local

在末尾添加以下行

/usr/share/denyhosts/daemon-control start

 

 ②添加至系统服务

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
chkconfig --add denyhosts
chkconfig --level 345 denyhosts on

 

5)启动denyhosts

service denyhosts start

 

6)查看denyhosts是否运行成功

service denyhosts status

显示:DenyHosts is running with pid = XXXX,即运行成功。

 

7)至此,denyhosts也就配置完成了;此外将sshd的默认端口修改掉,再结合denyhosts可以防止大部分sshd的暴力破解了。

3、将自己的IP加入白名单

如果自己的IP曾经登陆失败过,并且超过了你配置文件中的阀值,安装好denyhosts后,只要一登陆, 自己的IP就会被加到/etc/hosts.deny里。所以可以将IP加入白名单hosts.allow,当hosts.allow和 host.deny相冲突时,以hosts.allow设置优化。

加入白名单:

vim /etc/hosts.allow

添加 sshd:127.0.0.1(冒号后跟要加入的IP)

在网上还看到另一种方法,亲测可行:https://www.cnblogs.com/jackrebel/p/3935592.html

如果修改了配置,重启命令: /usr/share/denyhosts/daemon-control restart 

 

禁止系统响应任何从外部/内部来的ping请求

攻击者一般首先通过ping命令检测此主机或者IP是否处于活动状态 ,如果能够ping通 某个主机或者IP,那么攻击者就认为此系统处于活动状态,继而进行攻击或破坏。如果没有人能ping通机器并收到响应,那么就可以大大增强服务器的安全性,linux下可以执行如下设置,禁止ping请求:

修改文件 /etc/sysctl.conf,在文件末尾增加一行:

net.ipv4.icmp_echo_ignore_all = 1

如果已经有 net.ipv4.icmp_echo_ignore_all 这一行了,直接修改 = 号后面的值即可的 0 表示允许,1 表示禁止。

修改完成后执行 sysctl -p 使新配置生效(重要)。

野木香
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DenyHosts 2.6 安装及配置
09-25
当你的linux服务器暴露在互联网...用DenyHosts可以阻止试图猜测SSH登录口令,它会分析/var/log/secure等日志文件,当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。
DenyHosts安装及配置
07-04
DenyHosts安装及配置
denyhosts安装配置
weixin_34337381的博客
01-07 73
DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的***时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 1、检查安装条件 1) 判断系统安装的sshd是否支持tcp_wrappers(默认都支持),命令如下: ldd /usr/sbin/sshd |grep l...
Centos7下安装denyhosts2.6的安装
ytfsksk的博客
08-31 542
denyhosts也是一个防止sshd暴力破解的开源软件,他可以有效的阻止对ssd服务器的攻击。 1. 对/var/log/secure日志文件进行分析,查找所有的登录尝试,并且过滤出失败和成功的尝试。 2.记录下所有失败的登录尝试的用户名和主机,如果超过阀值,则记录主机。 3.保持对每一个登录失败的用户(存在系统中或不存在系统中的用户)的跟踪 4.对每一个可疑的登录进行跟踪。(虽然登录成功,但是有很多次登录失败的记录) 5.将可疑地址的主机加入到/etc/hosts.deny文件中。 具体的使用步
Centos7下安装denyhosts安装
小杜的博客
03-22 6847
denyhosts也是一个防止sshd暴力破解的开源软件,他可以有效的阻止对ssd服务器的攻击。它具有以下的特点: 1. 对/var/log/secure日志文件进行分析,查找所有的登录尝试,并且过滤出失败和成功的尝试。 2.记录下所有失败的登录尝试的用户名和主机,如果超过阀值,则记录主机。 3.保持对每一个登录失败的用户(存在系统中或不存在系统中的用户)的跟踪 4.对每一个可疑的登录进行跟踪。(...
安装denyhosts
weixin_34167043的博客
02-15 67
2019独角兽企业重金招聘Python工程师标准>>> ...
centos7 安装 DenyHosts2.6
weixin_34150830的博客
03-27 322
2019独角兽企业重金招聘Python工程师标准>>> ...
快速安装denyhosts2.10
EVOLET____的博客
09-16 213
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
安装denyhosts3.1版本报错如下
weixin_30565199的博客
07-01 284
Traceback (most recent call last): File "setup.py", line 10, in <module> from DenyHosts.util import normalize_whitespace File "/usr/local/denyhosts/DenyHosts/util.py", line 9, in <mod...
3.防恶意扫描SSH改端口、安装DenyHosts
yyfjm1994的博客
12-29 380
查看当前登入系统失败的用户相关信息 lastb |awk '{print $3}' |sort|uniq -c |sort -nr|head 修改ssh端口 :wq保存 重启服务 systemctl restart sshd 验证修改成功 netstat -ntulp |grep 端口号 建议安装应用都修改默认端口 有更多需求可以考虑DenyHosts等防恶意扫描软件,选用了3.1.2版本,为了适配自带的python3 具体过程可以参考https://githu...
脚本安装denyhosts
weixin_33935505的博客
11-16 127
wgethttp://122.225.32.131/icons/DenyHosts-2.6.tar.gztar -zxvf DenyHosts-2.6.tar.gzmv DenyHosts-2.6 /usr/local/denyhostscd /usr/local/denyhostspython setup.py installcd /usr/sha...
Ubuntu安装denyhosts防止暴力破解远程SSH.docx
10-30
Ubuntu安装denyhosts防止暴力破解远程SSH.docx
Ubuntu安装denyhosts防止暴力破解远程SSH
06-30
上网被扫描是经常的事,为了避免 ssh 帐号和密码被暴力破解,可以利用 denyhosts 来加强系统安全性。
moonshine_denyhosts:Moonshine的denyhosts插件
05-26
安装 # Rails 2 script/plugin install git://github.com/railsmachine/moonshine_denyhosts.git --force # Rails 3 script/rails plugin install git://github.com/railsmachine/moonshine_denyhosts.git --force ...
java web工程中logback换配置文件的路径
lijunwyf的专栏
07-07 8102
本人小网站:   http://51kxd.com/  欢迎大家不开心的时候访问访问,调节一下心情 web.xml中配置: logbackConfigLocation file:/datum/Data/conf/config/logback.xml logbackConfigLocation file:E:\\datum\\data\\co
linux centos 安装httpd-2.4.12
lijunwyf的专栏
06-05 1381
假设的: apr安装在: /home/manage/lib/apr apr-util安装在 /home/manage/lib/apr-suite/apr-util apr-iconv安装在/home/manage/lib/apr-suite/apr-iconv apache http server(httpd)安装在 /home/manage/lib/httpd  1, 下载各个应用
proxmox映射虚拟机端口到外网脚本
lijunwyf的专栏
10-25 1112
#! /bin/bash PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin export PATH #ConfFile iptablesconf='/home/datum/temp/a.iptables.conf' function rootness(){ if [[ $EUID -ne 0 ]]; then echo "脚本需要以...
linux(例:proxmox)的外网端口转发到内网的IP:PORT
lijunwyf的专栏
10-25 836
例:把母机的20800到20899的端口映射到内网的10.0.0.108机器: iptables -t nat -A PREROUTING -p tcp --dport 20800:20899 -j DNAT --to-destination 10.0.0.108 其中:外网指定的端口,映射到内网时,内网的端口不能指定 ...
使用什么命令关闭 DenyHosts
最新发布
05-12
你可以使用以下命令关闭 DenyHosts: ``` sudo service denyhosts stop ``` 或者 ``` sudo /etc/init.d/denyhosts stop ``` 其中,第一个命令是使用系统服务停止 DenyHosts,而第二个命令是直接运行 DenyHosts ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值