DenyHosts 阻止SSH暴力攻击

最新推荐文章于 2023-06-07 13:37:08 发布
最新推荐文章于 2023-06-07 13:37:08 发布
阅读量6.1k 收藏 6
点赞数
分类专栏: 乱乱放 文章标签: ssh 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanglei_storage/article/details/50849070
版权

当你的 Linux 服务器暴露在互联网之中,该服务器将会遭到互联网上的扫描软件进行扫描,并试图猜测SSH登录口令。

你会发现,每天会有多条SSH登录失败纪录。那些扫描工具将对你的服务器构成威胁,你必须设置复杂登录口令,并将尝试多次登录失败的IP给阻止掉,让其在一段时间内不能访问该服务器。

用DenyHosts可以阻止试图猜测SSH登录口令,它会分析/var/log/secure等日志文件,当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。

一、yum 安装 denyhosts

yum search denyhosts(denyhosts.noarch : A script to help thwart ssh server attacks)
yum install denyhosts

二、rpm -ql denyhosts 查看 denyhosts 安装路径

这边说下几个比较重要的目录

该目录中主要存放计划任务,日志压缩 以及 chkconfig 和 service 启动的文档

/etc/cron.d/denyhosts
/etc/denyhosts.conf
/etc/logrotate.d/denyhosts
/etc/rc.d/init.d/denyhosts
/etc/sysconfig/denyhosts

该目录中主要存放 denyhosts 所拒绝及允许的一些主机信息

/var/lib/denyhosts/allowed-hosts
/var/lib/denyhosts/allowed-warned-hosts
/var/lib/denyhosts/hosts
/var/lib/denyhosts/hosts-restricted
/var/lib/denyhosts/hosts-root
/var/lib/denyhosts/hosts-valid
/var/lib/denyhosts/offset
/var/lib/denyhosts/suspicious-logins
/var/lib/denyhosts/sync-hosts
/var/lib/denyhosts/users-hosts
/var/lib/denyhosts/users-invalid
/var/lib/denyhosts/users-valid
/var/log/denyhosts

三、来看看 /etc/denyhosts.conf 中的配置参数

[root@denyhosts ~]# egrep -v "(^$|^#)" /etc/denyhosts.conf 

       ############ THESE SETTINGS ARE REQUIRED ############
# 系统安全日志文件,主要获取ssh信息
SECURE_LOG = /var/log/secure

# 拒绝写入IP文件 hosts.deny
HOSTS_DENY = /etc/hosts.deny

# #过多久后清除已经禁止的,其中w代表周,d代表天,h代表小时,s代表秒,m代表分钟
PURGE_DENY = 4w

# denyhosts所要阻止的服务名称
BLOCK_SERVICE  = sshd

# 允许无效用户登录失败的次数
DENY_THRESHOLD_INVALID = 3

# 允许普通用户登录失败的次数
DENY_THRESHOLD_VALID = 10

# 允许ROOT用户登录失败的次数
DENY_THRESHOLD_ROOT = 6

# 设定 deny host 写入到该资料夹
DENY_THRESHOLD_RESTRICTED = 1

# 将deny的host或ip纪录到Work_dir中 
WORK_DIR = /var/lib/denyhosts

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES

# 是否做域名反解
HOSTNAME_LOOKUP=YES

# 将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务
LOCK_FILE = /var/lock/subsys/denyhosts

       ############ THESE SETTINGS ARE OPTIONAL ############
# 管理员Mail地址
ADMIN_EMAIL = root
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>
SMTP_SUBJECT = DenyHosts Report from $[HOSTNAME]

# 有效用户登录失败计数归零的时间
AGE_RESET_VALID=5d

# ROOT用户登录失败计数归零的时间
AGE_RESET_ROOT=25d

# 用户的失败登录计数重置为0的时间(/usr/share/denyhosts/restricted-usernames)
AGE_RESET_RESTRICTED=25d

# 无效用户登录失败计数归零的时间
AGE_RESET_INVALID=10d

   ######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE  ##########
# denyhosts log文件
DAEMON_LOG = /var/log/denyhosts

DAEMON_SLEEP = 30s

# 该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间
DAEMON_PURGE = 1h

[root@denyhosts ~]#

四、启动 denyhosts 服务并查看状态

这里写图片描述

五、通过测试 invalid、valid、root 等用户设置不同的ssh连接失败次数,来测试 denyhosts ,我这边只测试使用系统中不存在的用户进行失败登录尝试~

我们允许 invalid 用户只能失败4次、ROOT 用户失败7次、valid用户失败10次

DENY_THRESHOLD_INVALID = 4
DENY_THRESHOLD_VALID = 10
DENY_THRESHOLD_ROOT = 7

测试:使用一个没有创建的用户失败登录四次,并查看 /etc/hosts.deny

echo -n ""  > /var/log/secure
tail -f /var/log/secure
tail -f /etc/hosts.deny

/var/log/secure 日志信息:

这里写图片描述

/etc/hosts.deny 信息:

这里写图片描述

用户登录信息:

这里写图片描述

六、关于清除及添加可信主机记录

如果想删除一个已经禁止的主机IP,只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录,进入以下操作:

1、停止DenyHosts服务:service denyhosts stop

2、在 /etc/hosts.deny 中删除你想取消的主机IP

3、编辑 DenyHosts 工作目录的所有文件 /var/lib/denyhosts,并且删除已被添加的主机信息。

/var/lib/denyhosts/hosts
/var/lib/denyhosts/hosts-restricted
/var/lib/denyhosts/hosts-root
/var/lib/denyhosts/hosts-valid
/var/lib/denyhosts/users-hosts
/var/lib/denyhosts/users-invalid
/var/lib/denyhosts/users-valid

4、添加你想允许的主机IP地址到
/var/lib/denyhosts/allowed-hosts

5、启动DenyHosts服务: service denyhosts start

七、通过邮件接收 denyhosts 所发送的信息

1、修改 /etc/denyhosts.conf 配置档,并重启 denyhosts 服务

ADMIN_EMAIL = hongxue@showjoy.com
SMTP_HOST = mail.showjoy.com
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>

2、通过其他客户端进行多次失败登录尝试

3、打开mail,查看邮件

这里写图片描述

亦非我所愿丶
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
在 Centos 7 中使用 DenyHosts防止ssh暴力破解.doc
06-29
DenyHosts是用python2.3编写的一个程序,会分析/var/log/secure等文件,当发现同一个ip进行多次ssh登录失败时会将其写入/etc/hosts.dengy文件,达到屏蔽该ip的目的。
Ubuntu安装denyhosts防止暴力破解远程SSH
06-30
上网被扫描是经常的事,为了避免 ssh 帐号和密码被暴力破解,可以利用 denyhosts 来加强系统安全性。
ssh7.4添加黑名单
paradise
06-22 1456
编辑/etc/sshd.deny.hostguard 添加对应IP 重启服务systemctl restart sshd
linux服务器远程登录不上
Sakura0621的博客
12-09 1722
可能是您多次输入错误密码次数过多导致本地公网ip写入到/etc/sshd.deny.hostguard,导致了禁止本地ip远程登录,可以将其删除后尝试下。 vim /etc/sshd.deny.hostguard
sshd配置用户与ip限制访问
jbxue123的专栏
09-20 3344
本文介绍下,在linux系统中,配置sshd禁止某些用户或IP禁止访问的方法,有需要的朋友,可以参考下。 本文出处参考:http://www.jbxue.com/LINUXjishu/9826.html,转载请注明出处。 在linux系统中,sshd服务 不受 xinetd 管理,但可支持 tcpd,所以可以 hosts.allow 中配置:   复制代码代码示例:
使用DenyHos防止ssh穷举爆破
识途老码
08-31 532
防止ssh穷举爆破防止ssh穷举爆破安装denyhosts配置denyhosts编辑配置黑名单白名单启动denyhosts服务(yum安装,已默认配好) 防止ssh穷举爆破 Linux 安装DenyHost防止ssh暴力破解​ https://www.cnblogs.com/kerrycode/p/6514101.html 配置参考 https://blog.csdn.net/hjd199464/article/details/78315909 安装denyhosts denyhosts版本为2.9
Ubuntu安装denyhosts防止暴力破解远程SSH.docx
10-30
Ubuntu安装denyhosts防止暴力破解远程SSH.docx
denyhosts暴力破解
06-05
安全防范。、。。。。。。。。。。。。。。。。。。。。。。。。。。
linux服务器如何防范ssh暴力破解--denyhosts解决.docx
10-29
linux服务器如何防范ssh暴力破解--denyhosts解决.docx
华为云服务器登录不上(多次使用错误密码登录导致)
on the way . . .
12-22 3188
Background 今天公司一个小伙伴登录公司测试环境服务器(华为云服务器)时,使用错误密码登录了很多次(具体几次也没记哈),最终触发服务器登录保护机制,导致华为云服务器把公司的网段禁了,其他人也登录不上了(可以ping通),但是使用手机热点就可以了,因为没禁手机IP。下面截图说明及解决办法: 1、先登录到该服务器 使用手机热点或者先登录到其他非公司网络下的服务器(比如说其他华为云服务器,但得能与目标服务器网络互通),然后通过ssh登录到目标服务器 2、vim /etc/hosts.deny
linux问题解决:多种方法处理ssh暴力攻击
这里是河边
09-10 5777
linux问题解决:多种方法处理ssh暴力攻击 目录一、前言二、处理方式1. 更改ssh端口2. 禁止root用户登录3. RSA密钥登录4. 修改配置文件5. 使用iptables工具三、总结 一、前言   说实话挺离谱的,昨晚登我云服务器的时候,感觉root登录有点卡,然后登进去阿里云那边提醒说自上次登录至现在有xxx条登录失败结果。我一瞅,这量有点大啊,然后用命令lastb看了眼登录失败的日志。如下图:   可以看出来,这人应该是广撒网瞎捕鱼,因为攻击频率不算高并且IP都源自一个地方江苏省宿迁市 电
修改ssh端口
热门推荐
ThinkStu的博客
05-07 1万+
修改SSH端口的主要原因是提高服务器的安全性。默认情况下,SSH服务运行在端口22上,因此攻击者和自动化脚本通常会针对此端口发起暴力破解攻击、密码猜测和其他恶意活动
DenyHosts (防暴力破解SSH)
lswzw的博客
03-12 1137
DenyHosts安装及配置详解 DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 到官网下载DenyHosts DenyHosts官网:http://denyhosts.sourceforge.net/ yum安装 yum install...
DenyHosts教程:防暴力破解SSH密码
周先森爱吃素的博客
01-02 1165
本文介绍如何使用DenyHosts防止被SSH暴力破解用户密码。
linux系统中iptables、fireword、selinuxhosts.allow 、hosts.denysshsshd安全访问区别和联系
weixin_43084715的博客
06-21 1331
linux系统中iptables、fireword、selinuxhosts.allow 、hosts.denysshsshd安全访问区别和联系
SSH远程管理及sshd服务支持验证方式
settng style
07-17 1547
SSH(SecureShell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。​SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性。...
关于linux系统修改登录密码后无法ssh远程连接
武学秘笈
06-30 1930
最近发现公司的服务器ip地址一直有人在暴力破解ssh登录密码,甚至还出现了被登录的情况。这个就很危险了。所以就立马着手修改登录root密码,原来新建服务器的时候密码设计的比较简单。所以这次打算密码做复杂点的。 本人建议密码类的可以找个网站自动生成这种的 12-16位不等。毕竟复杂的密码也不是那么快被破解。 然后说下我遇到的问题:修改密码 passwd 直接改了root密码,没有问题 甚至远程连接一下也可以连上。后边就出了比较奇怪的事情 ,过了几分钟后服务器突然就连不上了... 我本以为是密码问
Ubuntu系统denyhosts的使用
最新发布
jiexijihe945的博客
06-07 809
今天服务器又被攻击了,防火墙也打开了,由于服务器需要对外提供服务,避免不了开放几个外部端口,所以增强防护才是王道。翻开/var/log/auth.log的日志发现很多外国的ip再请求我的端口,庆幸的是都被拒绝掉了,这应该是反复实验端口并试图找到漏洞。我准备增加denyhosts的服务,自动将一些外部攻击给加到黑名单里面。1、总体没那么难,不明白的设置就维持默认2、有问题的可以评论,我会看到邮件。
使用什么命令关闭 DenyHosts
05-12
你可以使用以下命令关闭 DenyHosts: ``` sudo service denyhosts stop ``` 或者 ``` sudo /etc/init.d/denyhosts stop ``` 其中,第一个命令是使用系统服务停止 DenyHosts,而第二个命令是直接运行 DenyHosts ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值