RHEL4- ssh服务（十一）ssh防范之DenyHosts的配置（上）

 

这一篇我来说说DenyHosts的配置。说之前我得说一说DenyHosts默认的安装路径，DenyHosts的默认安装路径是/usr/share/denyhosts.

既然DenyHosts的默认安装路径是/usr/share/denyhosts.那么我们就使用cd命令进入这个目录，如下所示：

#cd /usr/share/denyhosts.

进入这个目录之后，把目录中的denyhosts.cfg-dist和daemon-control-dist文件复制为denyhosts.cfg和daemon-control，如下所示：

# cp denyhosts.cfg-dist denyhosts.cfg

#cp daemon-control-dist daemon-control

默认的配置文件还不能满足我们的需求，我们还需要编辑denyhosts.cfg和daemon-control文件来满足我们的需求。

1、 denyhosts.cfg文件配置说明，默认配置文件原文请参考《RHEL4- ssh服务（十一）ssh防范之DenyHosts的配置（denyhosts.cfg默认配置文件）》需要注意一些字符的含义：“m”=minutes，“h”=hours，“d”=days，“w”=weeks，“y”=years，以下是需要注意的设置选项。

SECURE_LOG= /var/log/secure

这个选项用来确定安全日志的存放文件。

#SECURE_LOG=/private/var/log/system.log

运行系统为linux，这个选项需要关闭，否则运行会出错。

HOSTS_DENY = /etc/hosts.deny

这个选项用来确定发现非法用户的信息时系统会自动存入hosts.deny文件中屏蔽。

BLOCK_SERVICE = sshd

这个选项用来确定需要检测的进程服务。

DENY_THRESHOLD_INVALID = 5

这个选项用来确定非法用户登陆次数限制。

DENY_THRESHOLD_VALID = 10

这个选项用来确定合法用户登陆次数限制。

DENY_THRESHOLD_ROOT = 1

这个选项用来确定root用户登陆次数限制。

DENY_THRESHOLD_RESTRICTED = 1

这个选项用来确定受限用户登陆次数限制。

WORK_DIR = /usr/share/denyhosts/data

这个选项用来确定数据存储文件夹，DenyHosts会定期检查该文件下数据，分析非法数据并定期加入host.deny。

LOCK_FILE = /var/lock/subsys/denyhosts

这个选项用来确定防止系统运行多个检测程序。

*除了以上配置选项外，还有以下配置：

ADMIN_EMAIL =

SMTP_HOST = localhost

SMTP_PORT = 25

SMTP_FROM = DenyHosts <nobody@localhost>

SMTP_FROM = DenyHosts <nobody@localhost>

配置相关信息后可以将屏蔽的信息自动转发到所填写的邮箱中，方便管理员管理和操作。建议你启用此功能。

AGE_RESET_VALID=5d

AGE_RESET_ROOT=25d

AGE_RESET_RESTRICTED=25d

AGE_RESET_INVALID=10d

以上这四条选项可以用来配置屏蔽的时间长短，‘d’表示天数，对于非法用户可以相对设置时间长一些。

后台运行模式的相关配置如下：

DAEMON_LOG = /var/log/denyhosts

DAEMON_SLEEP = 30s

DAEMON_PURGE = 1h

2、 daemon-control配置文件说明，详细的默认原文请参考《ssh防范之DenyHosts的配置（daemon-control默认配置文件）》，在这个配置文件中只需要注意以下几个选项即可：

DENYHOSTS_BIN = "/usr/bin/denyhosts.py"

DENYHOSTS_LOCK = "/var/lock/subsys/denyhosts"

DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg"

配置文件夹的路径，根据所选的DenyHosts安装目录来配置，如果是默认文件夹安装，以下信息可以不修改：

PYTHON_BIN = "/usr/bin/env python"

这里引号“”中需要填写安装Python的路径，如果不清楚它的路径，可以通过whereis或者find命令来查找python的路径。

3、 我们还要对相关配置文件的权限做一定的限制，具体如下图所示：

到此就把DenyHosts的相关配置介绍完毕，各位网友可以根据自己的系统参考一下文章中的选项进行配置。

好了，累了，休息一会儿去，呵呵！

 

 

 

——————————————————————————————————

特别声明：--

一、本文为原创，著作权及使用权为（作者笔名：闪电cto）本人所有。 ­

二、本文首发于51cto个人博客（http://xudeqiang.blog.51cto.com）。  ­

三、本文只供互联网上的读者分享，不供共享范畴，希知。 ­

四、未经许可严禁对本文作修改、节选、断章性质的处理。 ­

五、可转载，但必须注明原文章首发的出处网址，及文章作者，严禁复制。 ­

六、如若转摘用于杂志网络媒体新闻，必须通知作者得到允许后方可，需收稿费。­

七、作者联系信息：QQ：306718122   邮箱[email protected]

——————————————————————————————

本文出自 “德强工作室” 博客，谢绝转载！