利用工具拒绝ssh的密码猜测，锁定IP使之无法猜测

利用工具拒绝ssh的密码猜测，锁定IP使之无法猜测

该工具的主要原理是扫描sshd日志，如果发现有大量的来自同一个IP地址的用户登录失败时，暂时锁定IP,加入IP到/etc/hosts.deny中。不让再登录，以缓解暴力破解工具破解密码的危险。    主要用于移动的用户，使用KEY不方便的机器上，对于静止使用密码的机器来说，意义不是很大。    DenyHosts官方网站为： [url]http://denyhosts.sourceforge.net[/url]    下载： wget [url]http://mesh.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.5.tar.gz[/url]        安装：      解压      python setup.py install 注:该工具是用python语言写的      cp denyhosts.cfg-dist /usr/share/denyhots/denyhosts.cfg      编辑/usr/share/denyhots/denyhosts.cfg配置文件      主要修改的参数有：        SECURE_LOG = /var/log/secure #ssh 日志文件，它是根据这个文件来判断的。        HOSTS_DENY = /etc/hosts.deny  #控制用户登陆的文件，根据UNIX版本不同配置不同        PURGE_DENY = 5m  #过多久后清除已经禁止的，默认为空，即马上清除掉，这个根据自己的需要设置。        BLOCK_SERVICE  = sshd   #阻止SSHD服务        DENY_THRESHOLD_INVALID = 1 #允许无效用户失败的次数        DENY_THRESHOLD_VALID = 10  #允许普通用户登陆失败的次数        DENY_THRESHOLD_ROOT = 5    #允许root登陆失败的次数        HOSTNAME_LOOKUP=NO   #是否做域名反解        ADMIN_EMAIL = root@localhost  #管理员邮件地址        DAEMON_LOG = /var/log/denyhosts #日志文件    启动服务：        cp daemon-control-dist /etc/init.d/daemon-control        server --levle 35 on daemon-control (正对rehhat，centos)        /etc/init.d/daemon-control start    我测试了一下，效果不错。