linux系统,使用Denyhosts防止ssh暴力破解.

最新推荐文章于 2023-06-07 13:58:54 发布
最新推荐文章于 2023-06-07 13:58:54 发布
阅读量858 收藏 2
点赞数 1
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42379759/article/details/81078641
版权

最近在维护公司服务器时候,发现被人恶意爆破尝试破解密码6w多次,于是上网查询了下相关资料学习如何防止ssh暴力破解。

说明:
DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(默认是/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,启用tcp_wrappers,从而达到自动屏IP的功能。 通过http://denyhosts.sourceforge.net可以下载DenyHosts的程序,可以直接下载rpm包来安装,也可以通过src.rpm包重新编译并安装等,通过这种方式默认是安装在/usr/share/denyhosts目录下。

实现:

1. 安装DenyHosts-2.6.tar.gz

# wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
# tar zxvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
# yum install python -y  //yum安装python,系统基本都有
# python setup.py install

 

2. 拷贝默认文件

 

# cd /usr/share/denyhosts/
# cp denyhosts.cfg-dist denyhosts.cfg
# cp daemon-control-dist daemon-control

 

 

3. 编辑配置文件denyhosts.cfg

 

# vim denyhosts.cfg  //该配置文件结构比较简单,简要说明主要参数如下:
PURGE_DENY = 50m #过多久后清除已阻止IP 
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny 
BLOCK_SERVICE = sshd #阻止服务名 
DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数 
DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数 
DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数 
WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中 
DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹 
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。 
HOSTNAME_LOOKUP=NO #是否做域名反解 
ADMIN_EMAIL = #设置管理员邮件地址 
DAEMON_LOG = /var/log/denyhosts #自己的日志文件 
DAEMON_PURGE = 10m #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间。
大家可以根据上面的解释,浏览一遍此配置文件,然后根据自己的需要稍微修改即可。

 

 

4.  启动Denyhosts

 

# ./daemon-control start

出现:
starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
DenyHosts could not obtain lock (pid: )
[Errno 17] File exists: '/var/lock/subsys/denyhosts'
使用:
rm -f /var/lock/subsys/denyhosts

./daemon-control start

 

5.  设置自动启动,让DenyHosts每次重启后自动启动。设置自动启动可以通过两种方法进行。

 

第一种是将DenyHosts作为类似apache、mysql一样的服务,这种方法可以通过 /etc/init.d/denyhosts 命令来控制其状态。方法如下:
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhosts
# chkconfig --add denyhosts
# chkconfig --level 2345 denyhosts on
第二种是将Denyhosts直接加入rc.local中自动启动(类似于Windows中的“启动文件夹”):
# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.local

 

 

如果想查看已经被阻止的IP,打开/etc/hosts.deny 文件即可。

 

 

附录:
附录1.各系统ssh日志位置
ssh日志文件,如果是redhat系列是根据/var/log/secure文件来判断的;Mandrake、FreeBSD是根据 /var/log/auth.log来判断的,而SUSE则是用/var/log/messages来判断的。这些在配置文件里面都有很详细的解释。

附录2.当我把denyhosts安装上启动后,结果/etc/hosts.deny文件中马上就有了我自己的ip地址在里面!晕死,我在安装后根本就还没有尝试登录过啊,又怎么被限制?
分析:我在rhel6和centos6上分别安装了denyhosts软件。结果均出现此情况。我想,既然它是根据/var/log/secure文件中登录失败记录来是判断是否违规,那么,会不会是我在安装denyhosts之前的secure中的失败登录记录也被算作违规呢?那么我删了应该就不会有问题了吧。
办法:cat /dev/null > /var/log/secure 即把secure日志文件全部清空!要注意的是,清空后要service syslog restart(也有可能是rsyslog) 重启日志记数器!因为如果你不重启服务,你会发现secure日志文件会停止记录一切活动了!那么denyhosts也就无效了。
结果:如果安装前就先清空,在安装denyhosts后,就不会自动出现禁止的IP了。
原理:根据官方FAQ上关于denyhosts对监控secure日志文件更新的原理,可以理解上述问题的原因。官方说明大概是这样的:denyhosts在/usr/share/denyhosts/data(即WORK_DIR)中的offset文件中记录了secure的首行记录。
如果说offset文件中的首行记录和现有secure中的首行记录相同,则比较现有secure和offset中最后记录的secure文件的大小,如果现有secure比记录中的secure文件大,则将secure中新增加的部分进行分析,并将新增加的失败登录行记录在了denyhosts记数器中。比如原来记录了root有3次登录失败,这次新增行中又发现了2次,那么一共就5次记录了。当超过DENY_THRESHOLD_ROOT中设立的值时,便将该IP加入hosts.deny中。如果现有secure文件和offset中记录的文件大小相同,则认为secure日志未更新。不做任何操作
如果offset文件中首行记录和现有secure中的首行记录不同,那么则认为secure文件是全新的。那么,offset会重新分析secure日志的所有行。
如果我们刚安装denyhosts,那么offset中并不会有secure日志文件头,也不会有secure日志文件大小的记录,那么denyhosts自然会分析所有的secure日志行,于是乎,我在安装denyhost前一周的所有的登录失败次数被累计起来,如果我在上一周内登录失败记录超过限制数,那么肯定就会在启动denyhosts后马上被加入黑名单了!(为什么是一周之内?因为secure日志文件记录的周期为一个星期!)

附录3.在另一台机器上我设置了DENY_THRESHOLD_ROOT=5 ,安装后结果我root用户才输错一次密码就给我封杀了!按参数意思应该是5次机会啊!不用这么绝吧!
和第一个问题是一个原因。只要先将secure清空再安装,一切就正常了。原因是,root用户在安装前就有了失败的记录,影响到denyhosts的次数判断。如你安装denyHosts之前root已经错误登录4次。那么你再用root登录1次就会发现登录不了了。我的其实安装denyhosts前日志中的记录就已经有4次了,所以马上被封杀了。

附录4.我设置了PURGE_DENY=3m,即3分钟清除hosts.deny中添加的记录。结果我苦等十分钟还不见/etc/hosts.deny中添加的ip被清除!这不是存心不让我再次登录了吗?好在我当前的ssh连接没断开。要断开了岂不没得连了?
还需要修改/usr/share/denyhosts/denyhosts.cfg中的DAEMON_PURGE = 3m,这个参数与PURGE_DENY=3m一样,感觉都是用于设置当某个ip 3分钟不再重新ssh登陆,将此ip从/etc/hosts.deny删除。DAEMON_PURGE = 3m可以设置长点,如1h,这里设置为3m主要是为了测试快。总不能等1小时吧。

附录5.这个所谓的阻止暴力破解,貌似只对ssh连接有效,我用ftp登录,然后不停的尝试登录,结果却没有被添加进阻止。
这个,我没有去试!

附录6.我将hosts.deny文件中的用户列表删除后,不久后竟然又自动给添加进来了!我@#¥¥。。难道硬是不让我再次登录了?!!
参考了官方文档才发现,原来不能单纯的只删除hosts.deny中的记录,要想删干净,得先service denyhosts stop .然后再把/usr/share/denyhosts/data目录下的其它文件中关于hosts.deny中的IP记录一并清空。再service denyhosts start即可。但有的时候只清除hosts.deny中的文件也可以。

附录7.denyhosts日志位置
# less /var/log/denyhosts

参考:
看这位仁兄的文章,他当初搞这个,肯定搞得很郁闷。特此记录下

http://linuxroad.blog.51cto.com/765922/673425

陈澍i
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在 Centos 7 中使用 DenyHosts防止ssh暴力破解.doc
06-29
DenyHosts是用python2.3编写的一个程序,会分析/var/log/secure等文件,当发现同一个ip进行多次ssh登录失败时会将其写入/etc/hosts.dengy文件,达到屏蔽该ip的目的。
linux使用denyhostsssh暴力破解
韦编二绝
12-31 2210
文章出处:http://coolnull.com/2068.html 说明: DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(默认是/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,启用tcp_wrappers,从而达到自动屏IP的功能。 通过http://denyhosts.sourceforg
SSh登陆失败的日志查看与攻击预防
热门推荐
IT小智博客
02-19 2万+
SSh登陆失败的日志查看与攻击预防 之前因为服务器里没有什么重要的东西,也就一直没有关注过登陆日志,刚才在配置ssh chroot出现错误是才去看的auth.log,记得这个文件就是个登陆日志,而且我之前偶尔查看时都很少内容,所以就直接cat查看了,谁知道竟然是满屏满屏的,"Failed password for root XXX.XXX.XXX.XXX",等了将近一分钟仍然
Linux安装JDK8,并出现Permission denied的错误的解决办法
醉看梦晨馨
11-06 1万+
1. 通过如下命令查看当前JDK的相关内容 rpm -qa | grep java 2. 如果出现如下内容 java-1.7.0-openjdk-1.7.0.9-2.3.4.1.el6_3.x86_64 java-1.6.0-openjdk-1.6.0.0-1.50.1.11.5.el6_3.x86_64 java-1.6.0-openjdk-devel-1.6
Linux hosts.allow与hosts.deny文件设置
IChen.的博客
02-21 1万+
一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置
linux中的/etc/hosts.allow和/etc/hosts.deny详解
weixin_43996007的博客
03-04 7856
linux中的/etc/hosts.allow和/etc/hosts.deny详解 当linux主机需要允许/禁止某些ip地址/地址段访问某些资源或服务时,/etc/hosts.allow和/etc/hosts.deny就派上了用场! 两个文件的配置格式是: 服务:地址:允许/禁止 其中,服务可以是sshd、vsftpd、smbd、telnetd,也可以是all(所有服务);地址可以是某个具体的ip地址,也可以是地址段,比如192.168.1.1,192.168.2.0/24,192.168.1.,192.
Ubuntu安装denyhosts防止暴力破解远程SSH.docx
10-30
Ubuntu安装denyhosts防止暴力破解远程SSH.docx
linux防火墙iptables用denyhosts防止黑客入侵.zip
01-07
linux iptables用denyhosts防止黑客入侵.zip
Ubuntu安装denyhosts防止暴力破解远程SSH
06-30
上网被扫描是经常的事,为了避免 ssh 帐号和密码被暴力破解,可以利用 denyhosts 来加强系统安全性。
linux服务器如何防范ssh暴力破解--denyhosts解决.docx
10-29
linux服务器如何防范ssh暴力破解--denyhosts解决.docx
阿里云服务器使用教程:Linux上预防SSH暴力破解及恶意登录软件DenyHost的安装教程
蓝多多的小仓库
03-30 693
目录1、前言2、DenyHosts简介3、安装与启动4、参数简介5、可能报错 近期发现每天都会有多条SSH登录失败纪录,一查IP发现几乎都是国外IP(如图),它们试图猜测SSH登录口令来恶意登录自己的服务器。因此为了服务器安全,需将这些IP自动加入到/etc/hosts.deny文件中。 DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/et
Linux中host&host.conf&host.allow&host.deny作用
qq_63283137的博客
02-02 2078
multi on 指定“/etc/hosts”文件中指定的主机是否可以有多个地址,拥有多个IP地址的主机一般称为多穴主机。该文件是由域名解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,也是DNS域名解析的配置文件。order bind,hosts 指定主机名查询顺序,这里规定先采用dns解析器,解析不到才查hosts文件。限制所有去往此ip的服务 *:192.168.10.10 //编辑deny文件。或 off,指定主机名的欺骗是否打开 开启/关闭。telnet的ip段。
DenyHosts-2.6
dacming的博客
06-07 107
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中。ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts #设软连接。
linux服务器不得不注意的安全问题--ssh暴力破解--denyhosts
halley333的专栏
11-04 2635
linux服务器不得不注意的安全问题--ssh暴力破解--denyhosts解决 2010-03-24 14:31:42 标签:linux系统 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://tech110.blog.51cto.com/438717/287490 最近一直关注Linux服务器的的/var
linux系统中iptables、fireword、selinuxhosts.allow 、hosts.denysshsshd安全访问区别和联系
weixin_43084715的博客
06-21 1324
linux系统中iptables、fireword、selinuxhosts.allow 、hosts.denysshsshd安全访问区别和联系
利用hosts.allow和hosts.deny限制IP登陆分解、iptables拒绝所有ip访问22端口,开通白名单、linux官方下载rpm包地址
崔崇鑫的博客,你linux/云运维工作中的百科全书。
06-28 4393
文章目录说明设置/etc/hosts.allow允许规则添加单条规则添加多条设置/etc/hosts.deny拒绝规则拒绝所有 说明 其实限制IP登陆用防火墙和这没有区别,只是有些没有使用防火墙的服务器,用该方法,就更方便一些。 有2个文件,一个是配置允许规则(/etc/hosts.allow),一个是配置拒绝规则(/etc/hosts.deny)。 设置/etc/hosts.allow允许规则 方法一:vim /etc/hosts.allow在最后面添加规则即可 方法二:echo "规则" >&gt
Linux实战问题解决方案(1):Could not get lock
weixin_30477797的博客
12-17 556
环境: Ubuntu12.04 问题描述: Could not get lock /var/lib/apt/lists/lock - open (11: Resource temporarily unavailable) 出现场景: 使用命令:sudo apt-get update 原因解析: 在上一次下载资源时,由于网络问题,下载失败。当换一个较好一点网络环境之后...
3.防恶意扫描SSH改端口、安装DenyHosts
yyfjm1994的博客
12-29 362
查看当前登入系统失败的用户相关信息 lastb |awk '{print $3}' |sort|uniq -c |sort -nr|head 修改ssh端口 :wq保存 重启服务 systemctl restart sshd 验证修改成功 netstat -ntulp |grep 端口号 建议安装应用都修改默认端口 有更多需求可以考虑DenyHosts等防恶意扫描软件,选用了3.1.2版本,为了适配自带的python3 具体过程可以参考https://githu...
ssh_change_identification: read Connection reset by peer
最新发布
07-28
当你在尝试通过SSH连接远程机器时,如果出现"ssh_exchange_identification: Connection closed by remote host"或"Connection refused"的提示,这可能是由于以下原因导致的。 首先,可能是由于远程服务器阻止了SSH连接的尝试。这可能是由于安全设置或防火墙规则导致的。你可以尝试通过其他Linux云主机使用"ssh xx@ip -pport"命令登录该云主机,如果仍然失败并出现"ssh_exchange_identification: Connection closed by remote host"的错误提示,那么很可能是远程服务器阻止了连接。\[1\]\[2\] 其次,可能是由于远程服务器突然关闭了TCP流导致的。在大多数情况下,远程服务器的快速重启可能会解决临时中断或连接问题。此外,还有可能是基于主机的访问控制列表或入侵防御软件(如Fail2ban、DenyHosts等)通过更新防火墙规则来阻止了IP对SSH守护程序的访问。\[3\] 为了解决这个问题,你可以尝试以下方法: 1. 检查远程服务器的防火墙设置,确保SSH连接被允许通过。 2. 如果你有其他可用的登录方式(如控制台或远程桌面),尝试重启远程服务器。 3. 检查是否有任何入侵防御软件(如Fail2ban、DenyHosts)在阻止SSH连接。如果有,可以尝试修改其配置文件或暂时禁用它们。 4. 如果问题仍然存在,你可以联系远程服务器的管理员或技术支持寻求进一步的帮助。 总结起来,当出现"ssh_exchange_identification: Connection closed by remote host"或"Connection refused"的错误提示时,可能是由于远程服务器阻止了SSH连接的尝试或远程服务器突然关闭了TCP流导致的。你可以尝试检查防火墙设置、重启远程服务器、检查入侵防御软件的配置或寻求进一步的帮助来解决这个问题。 #### 引用[.reference_title] - *1* *2* [ssh登录失败,报:ssh_exchange_identification read Connection reset](https://blog.csdn.net/KEYMA/article/details/127500279)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [解决 ssh_exchange_identification 问题](https://blog.csdn.net/Double_Horse/article/details/131186707)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值