使用 denyhosts 防御服务器被SSH暴力攻击

DenyHosts是Python语言写的一个程序，它可以分析sshd的登录日志文件（/var/log/secure），当发现重复的攻击时就会记录IP到/etc/hosts.deny文件，从而达到自动屏IP阻止SSH密码暴力破解的功能。

本环境为centos6.8 final

安装

# yum -y install denyhosts
# chkconfig --level 35 denyhosts on

配置

# vi /etc/denyhosts.conf

############ THESE SETTINGS ARE REQUIRED ############
SECURE_LOG = /var/log/secure
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 1w #过多久后清除已经禁止的，其中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
BLOCK_SERVICE  = sshd
DENY_THRESHOLD_INVALID = 3 #允许无效用户失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 5 #允许root登陆失败的次数
DENY_THRESHOLD_RESTRICTED = 1
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/lock/subsys/denyhosts

启动服务

# service denyhosts start

解绑

1).解锁特定的IP地址

# vi /etc/hosts.allow
在末尾添加解绑IP地址
sshd: 212.237.2.160

2).解锁所有的IP地址

第一种方法：停止denyhosts 服务
停止denyhosts 服务，那么所有的IP地址都会被解锁。当你重启 denyhosts，如果这些异常地址的发生时间仍然在禁止时间内，那么denyhosts会重新将这些IP地址禁止。
第二种方法：日志滚动

# logrotate -f /etc/logrotate.conf

查看/var/log/secure有无被清理，如果没有，手动清理
清理/etc/hosts.deny 文件
重启denyhosts

#/etc/init.d/denyhosts restart