Linux 上DenyHosts阻止SSH暴力攻击
现在的互联网非常不安全,最近本人就经历了一场有惊无险的有关系统安全的事件:公司的一个测试服务器由于之前密码设置太简单,被人扫描后暴力破解了root密码并登陆到服务器上,还创建了一个uid为0的个人账号,留下了一个后门,还好及时发现了,否则后果不堪设想!后来我查日志发现了很多不同的IP一直在尝试暴力破解我这太服务器的sshd端口,所以我在网上找到了DenyHosts这款软件做了防暴力破解,这是鄙人第一次写博客,有不周到的地方还请各位看官多多包涵!
以下安装配置和最后的解除IP限制都是我在网上找到的资料并做了一些整合。
DenyHosts官方网站为:http://denyhosts.sourceforge.net/
1、下载DenyHosts 并解压
# wget http://soft.vpser.net/security/denyhosts/DenyHosts-2.6.tar.gz
# tar zxvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
2、安装、配置和启动
# python setup.py install
默认是安装到/usr/share/denyhosts/目录的,进入相应的目录修改配置文件
# cd /usr/share/denyhosts/
# cp denyhosts.cfg-dist denyhosts.cfg
# cp daemon-control-dist daemon-control
默认的设置已经可以适合centos系统环境,你们可以使用vi命令查看一下denyhosts.cfg和daemon-control,里面有详细的解释
接着使用下面命令启动denyhosts程序
# chown root daemon-control
# chmod 700 daemon-control
# ./daemon-control start
如果要使DenyHosts每次重起后自动启动还需做如下设置:
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhosts
# chkconfig --add denyhosts
# chkconfig --level 345 denyhosts on
或者执行下面的命令,将会修改/etc/rc.local文件:
# echo "/usr/share/denyhosts/daemon-control start" >> /etc/rc.local
DenyHosts配置文件denyhosts.cfg说明:
SECURE_LOG = /var/log/secure
#sshd日志文件,它是根据这个文件来判断的,不同的操作系统,文件名稍有不同。
HOSTS_DENY = /etc/hosts.deny
#控制用户登陆的文件
PURGE_DENY = 5m
#过多久后清除已经禁止的
BLOCK_SERVICE = sshd
#禁止的服务名
DENY_THRESHOLD_INVALID = 1
#允许无效用户失败的次数
DENY_THRESHOLD_VALID = 10
#允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 5
#允许root登陆失败的次数
HOSTNAME_LOOKUP=NO
#是否做域名反解
DAEMON_LOG = /var/log/denyhosts
更多的说明请查看自带的README文本文件,好了以后维护VPS就会省一些心了,但是各位VPSer们注意了安全都是相对的哦,没有绝对安全,请定期或不定期的检查你的VPS主机,而且要定时备份你的数据哦。
关于取消访问限制:经本人测试,如果自己的IP或者是企业内部合法IP尝试登陆失败且被DenyHosts加入到/etc/hosts.deny文件里了,该如何取消访问限制呢?我开始以为只要清空了/var/log/secure日志,再删除/etc/hosts.deny里面的IP就可以了,如果你也是这样想那就错了,即使你清空了以上两个文件,过不了多久,DenyHosts又会将你的IP写入/etc/hosts.deny,这也是这款软件的强大地方,DenyHosts会读取多个记录确保没有漏网之鱼,清空/var/log/secure和/etc/hosts.deny并不能完美解锁自己的IP, 很快就会被DenyHosts重新锁定。那该如何解除锁定呢?
下面是解锁的步骤:
首先停止DenyHosts, CentOS系统的可以用命令:
service denyhosts stop
然后清空下面的日志和文件
cat /dev/null > /var/log/secure
cat /dev/null > /etc/hosts.deny
cat /dev/null > /usr/share/denyhosts/data/hosts
cat /dev/null > /usr/share/denyhosts/data/hosts-restricted
cat /dev/null > /usr/share/denyhosts/data/hosts-root
cat /dev/null > /usr/share/denyhosts/data/hosts-valid
cat /dev/null > /usr/share/denyhosts/data/offset
cat /dev/null > /usr/share/denyhosts/data/suspicious-logins
cat /dev/null > /usr/share/denyhosts/data/users-hosts
cat /dev/null > /usr/share/denyhosts/data/users-invalid
cat /dev/null > /usr/share/denyhosts/data/users-valid
然后重新开启Deny Hosts:
service denyhosts start