1.DenyHosts介紹

DenyHosts是Python語言寫的一個程序，它會分析sshd的日志文件（/var/log/secure），當發現重 復的***時就會記錄IP到/etc/hosts.deny文件，從而達到自動屏IP的功能。

2.DenyHosts應用

當你的linux服務器暴露在互聯網之中，該服務器將會遭到互聯網上的掃描軟件進行掃描，并試圖猜測SSH登錄口令。你會發現，每天會有多條SSH登錄失敗紀錄。那些掃描工具將對你的服務器構成威脅，你必須設置復雜登錄口令，并將嘗試多次登錄失敗的IP給阻止掉，讓其在一段時間內不能訪問該服務器。用DenyHosts可以阻止試圖猜測SSH登錄口令，它會分析/var/log/secure等日志文件，當發現同一IP在進行多次SSH密碼嘗試時就會記錄IP到/etc/hosts.deny文件，從而達到自動屏蔽該IP的目的

3.配置文件詳解

? ? ? ############ THESE SETTINGS ARE REQUIRED ############
SECURE_LOG = /var/log/secure ? ?
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 1w #過多久后清除已經禁止的，其中w代表周，d代表天，h代表小時，s代表秒，m代表分鐘BLOCK_SERVICE ?= sshd ? ?#阻止服務名
DENY_THRESHOLD_INVALID = 5 ? #允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 5 ? ?#允許普通用戶登陸失敗的次數

DENY_THRESHOLD_ROOT = 1 ? ?#允許root登陸失敗的次數

DENY_THRESHOLD_RESTRICTED = 1 ? ? ?#設定 deny host 寫入到該資料夾

WORK_DIR = /usr/share/denyhosts/data ? ?#將deny的host或ip紀錄到Work_dir中SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/lock/subsys/denyhosts ? ? ? ? ?#將DenyHOts啟動的pid紀錄到LOCK_FILE中，已確保服務正確啟動，防止同時啟動多個服務。

############ THESE SETTINGS ARE OPTIONAL ############
ADMIN_EMAIL = 12345@qq.com #若有IP被禁止用戶發郵件通知

SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <12345@qq.com@localhost>
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=1d ? ?#有效用戶登錄失敗計數歸零的時間

AGE_RESET_ROOT=1d ? ?#root用戶登錄失敗計數歸零的時間

AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d ? ?#無效用戶登錄失敗計數歸零的時間

######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE ?##########
DAEMON_LOG = /var/log/denyhosts ? ?#自己的日志文件 ?
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h ? ? ? ? ?#該項與PURGE_DENY 設置成一樣，也是清除hosts.deniedssh 用戶的時間。

? ######### ? THESE SETTINGS ARE SPECIFIC TO ? ? ##########
? ######### ? ? ? DAEMON SYNCHRONIZATION ? ? ? ? ##########

安裝過程

[root@wjg denyhosts]# cd /home/wjg/tools/
[root@wjg tools]# tar zxf DenyHosts-2.6.tar.gz

[root@wjg tools]# cd DenyHosts-2.6

[root@wjg DenyHosts-2.6]# python setup.py install

[root@wjg DenyHosts-2.6]# echo $?

[root@wjg DenyHosts-2.6]# cd /usr/share/denyhosts/

[root@wjg denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg

[root@wjg denyhosts]# cat denyhosts.cfg |egrep -v "^#|^$" >denyhosts.cfg

[root@wjg denyhosts]# vi denyhosts.cfg

[root@wjg denyhosts]# cp daemon-control-dist daemon-control

[root@wjg denyhosts]# chown root daemon-control

[root@wjg denyhosts]# chmod 700 daemon-control

[root@wjg denyhosts]# ./daemon-control start

[root@wjg denyhosts]# ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts

如果不想讓主機拒絕某一個ip，做法如下：

vi /etc/hosts.allow

sshd：10.0.0.1#允許10.0.0.1訪問該主機的ssh服務

如果想拒絕某一個ip同樣使用vi /etc/hosts.deny

#chkconfig denyhosts on可以用一臺電腦遠程連接過來測試.如果可以看到/etc/hosts.deny內是否有禁止的ＩＰ,有的話說明已經安裝成功了.

注.我發現時間deny以后,刪除ip的時間不是很準.解決的方法是改變DAEMON_PURGE = 這個的時間.我發現系統刪除時間是以他為準.

DAEMON_PURGE:預設清除:當DenyHosts在預設模式下執行,執行清除機械作用過期最久的HOSTS_DENY,這個會影響PURGE_DENY的間隔

其實這段原理也很簡單， 我稍微解釋一下；它其實就是收集/var/log/secure的信息，如果root登陸失敗次數超過10次，它將其寫進/etc/hosts.deny 文件里；其實我們完全可以用shell來做這些事情，腳本控的同學可以關注以下腳本，我在線上服務器已測試成功。我主要是為了安全著想，不想在線上服務器 去進行大的改動，所以采用shell的方式，有這種需求的同學也可關注下。

vim /root/ssh_deny.sh
#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' ?>/root/black.txt
DEFINE="10"

for i in `cat ?/root/black.txt`
do
? ? ? ?IP=`echo $i |awk -F= '{print $1}'`
? ? ? ?NUM=`echo $i|awk -F= '{print $2}'`
? ? ? ?if [ $NUM -gt $DEFINE ];
? ? ? ?then
? ? ? ? grep $IP /etc/hosts.deny > /dev/null
? ? ? ? ?if [ $? -gt 0 ];
? ? ? ? ?then
? ? ? ? ?echo "sshd:$IP" >> /etc/hosts.deny
? ? ? ? ?fi
? ? ? ?fi
done

vim /etc/crontab
* */1 * * * root sh /root/ssh_deny.sh

寫此腳本時我本來想用時間收集的問題，即隔斷時間就收集一次/var/log/secure的日志信息，后來覺得這個方法比較復雜；我稍為解釋一下上面的 腳本。它其實就是放在crontab里，每隔一個小時就去讀一下/var/log/secure的日志信息，定義連接root的IP的閥值為10，如果此 IP在/etc/hosts.deny里，就什么也不做；如果不在($?值不為0，即非狀態下)，就將其添加進/etc/hosts.deny里，此腳本 放在線上環境也有一段時間了，效果也可以的。

這個install_denyhosts.sh是全自動下載安裝的小腳本，當然安裝后還得手動調整配置文件。適合非生產服務器使用；如果是生產服務器，建議大家采用我后面的ssh_deny.sh腳本。

本install_denyhosts.sh腳本如下:

本install_denyhosts.sh腳本如下:

#!/bin/bash
cd /usr/local/src
wget http://jaist.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz
tar zxf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
cd /usr/share/denyhosts/
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control
grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
echo "/usr/share/denyhosts/daemon-control start" >>/etc/rc.local
cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig --level 345 denyhosts on
service denyhosts start

Permission denied (publickey,gssapi-with-mic,password)出現這行表示生效

ADMIN_EMAIL [email==zhenghui@guoguang.net]=zhenghui@guoguang.net[/email] #管理員郵件地址,它會給管理員發郵件

轉載于:https://blog.51cto.com/harles/1343696

總結

以上是生活随笔為你收集整理的Denyhosts的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。