用denyhosts防SSH暴力破解用户密码

DenyHosts是Python语言写的一个程序，它会分析sshd的日志文件（/var/log/secure），当发现重 复的***时就会记录IP到/etc/hosts.deny文件，从而达到自动屏IP的功能。---百度说的。

当你的linux服务器暴露在互联网之中，该服务器将会遭到互联网上的扫描软件进行扫描，并试图猜测SSH登录口令。

 

　　你会发现，每天会有多条SSH登录失败纪录。那些扫描工具将对你的服务器构成威胁，你必须设置复杂登录口令，并将尝试多次登录失败的IP给阻止掉，让其在一段时间内不能访问该服务器。 ---百度说的。

 

　　用 DenyHosts 可以阻止试图猜测SSH登录口令，它会分析/var/log/secure等日志文件，当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件，从而达到自动屏蔽该IP的目的。 ---百度说的。

官方网：http://denyhosts.sourceforge.net/

个人觉得如果系统使用SSH RSA 公钥的话denyhosts可以不使用了。

安装十分简单，看一下README文件一下子就明白了。如下：

1. wget http://nchc.dl.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz 
2. tar zxf DenyHosts-2.6.tar.gz 
3. cd DenyHosts-2.6 
4. python setup.py install 

应用配置：

 

1. cd /usr/share/denyhosts/ 
2. grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg 
3.  
4. cat denyhosts.cfg 
5.        ############ THESE SETTINGS ARE REQUIRED ############ 
6.  
7. SECURE_LOG = /var/log/secure  #系统安装日志的绝对路径
8.  
9. HOSTS_DENY = /etc/hosts.deny  #记录拒绝访问的IP文件
10.  
11.  
12. PURGE_DENY = 1d #过多久后清除已经禁止的，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
13.  
14. BLOCK_SERVICE  = sshd 
15.  
16. DENY_THRESHOLD_INVALID = 3 #允许无效用户失败的次数
17.  
18. DENY_THRESHOLD_VALID = 3 #允许普通用户登陆失败的次数
19.  
20. DENY_THRESHOLD_ROOT = 3 #允许root登陆失败的次数
21.  
22. DENY_THRESHOLD_RESTRICTED = 1 
23.  
24.  
25. WORK_DIR = /usr/share/denyhosts/data 
26.  
27. SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES 
28.  
29. HOSTNAME_LOOKUP=YES 
30.  
31.  
32. LOCK_FILE = /var/lock/subsys/denyhosts 
33.  
34.  
35.        ############ THESE SETTINGS ARE OPTIONAL ############ 
36.  
37. ADMIN_EMAIL =  #接收邮件的邮件地址
38.  
39. SMTP_HOST = localhost 
40. SMTP_PORT = 25 
41.  
42.  
43. SMTP_FROM = DenyHosts <nobody@localhost> 
44.  
45. SMTP_SUBJECT = DenyHosts Report 
46.  
47. AGE_RESET_VALID=5d #有效用户登录失败计数归零的时间
48.  
49. AGE_RESET_ROOT=25d #root用户登录失败计数归零的时间
50.  
51. AGE_RESET_RESTRICTED=25d 
52.  
53. AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间
54.    ######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE  ########## 
55. DAEMON_LOG = /var/log/denyhosts 
56. DAEMON_SLEEP = 30s 
57. DAEMON_PURGE = 1h 
58.    #########   THESE SETTINGS ARE SPECIFIC TO     ########## 
59.    #########       DAEMON SYNCHRONIZATION         ########## 

 

启动：

1. cp daemon-control-dist daemon-control 
2. chmod 700 daemon-control 
3. ./daemon-control start 
4. ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts 
5. chkconfig --add denyhosts 
6. chkconfig --list denyhosts 

如想让某IP不受denyhosts禁止，可以在/etc/hosts.allow里面添加。如：

vi /etc/hosts.allow   

sshd： 192.168.30.2 #允许192.168.30.2访问该主机的ssh服务

 

转载于:https://blog.51cto.com/fengzhige/1092072