DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。

1. 到官网下载DenyHosts

DenyHosts官网:http://denyhosts.sourceforge.net/

2. 解压并安装

  1. # 官网下载包安装
  2. [root@www ~]# tar zxvf DenyHosts-2.6.tar.gz
  3. [root@www ~]# cd DenyHosts-2.6
  4. [root@www DenyHosts-2.6]# yum install python -y
  5. [root@www DenyHosts-2.6]# python setup.py install
  6. [root@www DenyHosts-2.6]# cd /usr/share/denyhosts/
  7. [root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg      //配置文件
  8. [root@www denyhosts]# cp daemon-control-dist daemon-control    //启动文件
  9. [root@www denyhosts]# chown root daemon-control
  10. [root@www denyhosts]# chmod 700 daemon-control
  12. # yum安装
  13. [root@www ~]#  yum install -y denyhosts
 
 

3. 配置文件内容说明

  1. [root@www denyhosts]# vi denyhosts.cfg
  2. SECURE_LOG = /var/log/secure   #ssh日志文件
  3. # format is: i[dhwmy]
  4. # Where i is an integer (eg. 7)
  5. # m = minutes
  6. # h = hours
  7. # d = days
  8. # w = weeks
  9. # y = years
  10. #
  11. # never purge:
  12. PURGE_DENY = 50m               #过多久后清除已阻止IP
  13. HOSTS_DENY = /etc/hosts.deny   #将阻止IP写入到hosts.deny
  14. BLOCK_SERVICE = sshd           #阻止服务名
  15. PURGE_THRESHOLD =              #定义了某一IP最多被解封多少次。某IP暴力破解SSH密码被阻止/解封达到了PURGE_THRESHOLD次,则会被永久禁止;
  16. DENY_THRESHOLD_INVALID = 1     #允许无效用户登录失败的次数
  17. DENY_THRESHOLD_VALID = 10      #允许普通用户登录失败的次数
  18. DENY_THRESHOLD_ROOT = 5        #允许root登录失败的次数
  19. WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中
  20. DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹
  21. LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。
  22. HOSTNAME_LOOKUP=NO            #是否做域名反解
  23. ADMIN_EMAIL =                 #设置管理员邮件地址
  24. DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置

4. 启动自启动服务

  1. # ./daemon-control start #启动DenyHosts
  2. # ln -s /usr/share/denyhosts/daemon-control /etc/init.d   //对daemon-control进行软连接,方便管理
  3. # /etc/init.d/daemon-control start           //启动denyhosts
  4. # chkconfig daemon-control on                //将denghosts设成开机启动
  5. 或者
  6. # vi /etc/rc.local --------->加入下面这条命令:
  7. /usr/share/denyhosts/daemon-control start

以后可以直接查看hosts.deny文件就能找到攻击ip的记录

  1. # vi /etc/hosts.deny

作者:Robin2018
链接:https://www.jianshu.com/p/59ffb6adc37c
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

 
作者:Robin2018
链接:https://www.jianshu.com/p/59ffb6adc37c
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

作者:Robin2018
链接:https://www.jianshu.com/p/59ffb6adc37c
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

DenyHosts 安全限制ssh防暴力破解的更多相关文章

  1. SSH防暴力破解脚本

    crontab -e 编辑添加一下内容 1 1 * * * sh /root/bin/Denyhosts.sh 脚本内容 #!/bin/bash #Denyhosts SHELL SCRIPT #20 ...

  2. openssh安装、设置指定端口号、免密码登录、变量传递、防暴力破解

    首先确保机器挂在好光盘镜像,然后查看软件包信息 [root@xuegod63 ~]# df -hFilesystem      Size  Used Avail Use% Mounted on/dev ...

  3. centos7防暴力破解五种方法

    什么是暴力破解,简单来说就是对一个服务器进行无数次尝试登陆,并用不同的密码进行登陆直到可以登陆成功.暴力破解的基本步骤可以分为以下几步: 1. 找到对应的linux服务器    Ip地址 2.扫描端口 ...

  4. fail2ban的使用以及防暴力破解与邮件预警

    fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员! fail2ban运行机制:简单来说其功能就 ...

  5. fail2ban 防暴力破解总结

    公司服务器安全问题一直是个令人头疼的问题,许多运维的小伙伴一直在用脚本来监控服务器登录状态,然而脚本编写比较麻烦,今天就给大家推荐一款小而精致的防暴力破解工具 fail2ban ,他可以监控系统日志, ...

  6. Centos6.4 安装fail2ban防暴力破解

    Centos6.4 安装fail2ban防暴力破解 一. 安装 curl -O https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.9.0 m ...

  7. SSH密码暴力破解及防御实战

    SSH密码暴力破解及防御实战 一.Hydra(海德拉) 1.1 指定用户破解 二.Medusa(美杜莎) 2.1 语法参数 2.2 破解SSH密码 三.Patator 3.1 破解SSH密码 四.Br ...

  8. 开源服务专题之------ssh防止暴力破解及fail2ban的使用方法

    15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵.只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/roo ...

  9. WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板

    正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入 ...

随机推荐

  1. 处理字符串的一些js/jq方法(去除HTML,去除空格,计算真实长度,截取中英文字符)

    去除html标签: function del_html_tags(str) { var words = ''; words = str.replace(/<[^>]+>/g,&quo ...

  2. 适配器模式Adapter

    原创转载请注明出处:https://www.cnblogs.com/agilestyle/p/11401410.html 1. 定义将一个类的接口转换成客户希望的另外一个接口.适配器模式使得原本由于接 ...

  3. 【Dart学习】--Dart之正则表达式相关方法总结

    一,部分属性 RegExp exp = new RegExp(r"(\w+)"); 返回正则表达式的哈希码 print(exp.hashCode); 正则表达式是否区分大小写 pr ...

  4. MySQL安装/卸载

    http://jishu8.cc/2017/02/06/55/ 检查端口是否冲突:netstat nao | findstr 3307  启动服务:services.msc

  5. share memory cache across multi web application

    Single instance of a MemoryCache across multiple application pools on the same server [duplicate] Yo ...

  6. error LNK2001: 无法解析的外部符号 __imp__Shell_NotifyIconA@8

    编译链接报错 error LNK2001: 无法解析的外部符号 __imp__Shell_NotifyIconA@8 解决方案: 在代码中添加链接库Shell32.lib #pragma commen ...

  7. linux中软连接和硬链接的区别

    linux中创建软连接和硬链接的方法: 软连接: ln -s oldfile slink 硬连接: ln oldfile hlink linux中创建软连接和硬链接的区别:        原理上,硬链 ...

  8. Java学习之抽象类

    抽象类特点: 1.抽象方法必须定义在抽象类中2.abstract关键字修饰:只能修饰类和方法3.抽象类不能实例化4.抽象类中的方法要被使用,必须由子类重写所有的抽象方法,实例化其子类 如果子类只重写部 ...

  9. expand gcc case variable length

    daniel@daniel-mint ~/vex $ bash gen.sh 0x10 0x1F case 10: case 11: case 12: case 13: case 14: case 1 ...

  10. libVEX学习

    VEX IR是一种更加接近于compiler使用的中间语言/中间表示,它是不依赖于特定体系架构的. 1. Code Blocks code blocks是VEX处理代码的一个单元,使用IRSB结构体表 ...