情景:今天登录服务器,突然发现登录之后展示的信息有点多,仔细端倪发现:

  There were 3975 failed login attempts since the last successful login.
 
这很明显是有人想要试图登录我的服务器,企图进行暴力破解。虽然我设置的密码很复杂,但是这种飞来的伤害岂能坐视不管。
 
 
 
于是就使用DenyHosts来进行防御一下:
  DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。
 
  当然除了这种方式,还可以彻底一些,不允许以用户名+密码的方式进行登录。而是采用pem方式进行登录(详情)
 
1. 从官网上下载(http://denyhosts.sourceforge.net/
 
2. 解压安装
tar zxvf DenyHosts-2.6.tar.gz

cd DenyHosts-2.6

python setup.py install

cd /usr/share/denyhosts/   

cp denyhosts.cfg-dist denyhosts.cfg      //配置文件

cp daemon-control-dist daemon-control    //启动文件

chown root daemon-control

chmod 700 daemon-control

3. 其他设置

#对daemon-control进行软连接,方便管理

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts    

/etc/init.d/denyhosts start        #启动denyhosts

chkconfig --add denyhosts

chkconfig denyhosts on             #将denghosts设成开机启动
4. 配置文件(vim /usr/share/denyhosts/denyhosts.cfg )
       ############ THESE SETTINGS ARE REQUIRED ############

SECURE_LOG = /var/log/secure                  #ssh 日志文件 #redhat系列根据/var/log/secure文件来判断;

                                                           #Mandrake、FreeBSD根据 /var/log/auth.log来判断;

                                                           #SUSE则是用/var/log/messages来判断,这些在配置文件里面都有很详细的解释。

HOSTS_DENY = /etc/hosts.deny                  #控制用户登录的文件

PURGE_DENY = 30m                              #过多久后清除已经禁止的,设置为30分钟;

# ‘m’ = minutes

# ‘h’ = hours

# ‘d’ = days

# ‘w’ = weeks

# ‘y’ = years

BLOCK_SERVICE = sshd                         #禁止的服务名,当然DenyHost不仅仅用于SSH服务

DENY_THRESHOLD_INVALID = 1                   #允许无效用户失败的次数

DENY_THRESHOLD_VALID = 3                     #允许普通用户登陆失败的次数

DENY_THRESHOLD_ROOT = 3                      #允许root登陆失败的次数

DENY_THRESHOLD_RESTRICTED = 1                #设定 deny host 写入到该资料夹

WORK_DIR = /usr/share/denyhosts/data     #将deny的host或ip记录到work_dir中

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES

HOSTNAME_LOOKUP=YES                         #是否做域名反解

LOCK_FILE = /var/lock/subsys/denyhosts      #将DenyHost启动的pid记录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务

       ############ THESE SETTINGS ARE OPTIONAL ############

ADMIN_EMAIL =                           #管理员邮箱

SMTP_HOST =

SMTP_PORT =

SMTP_FROM =

SMTP_SUBJECT = DenyHosts Report         #邮件主题

AGE_RESET_VALID=5m                      #有效用户登录失败计数归零的时间

AGE_RESET_ROOT=10m                      #root用户登录失败计数归零的时间

AGE_RESET_RESTRICTED=10m                #用户的失败登录计数重置为0的时间(/usr/share/denyhosts/data/restricted-usernames)

AGE_RESET_INVALID=5m                    #无效用户登录失败计数归零的时间

   ######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE  ##########

DAEMON_LOG = /var/log/denyhosts              #DenyHosts日志文件存放的路径,默认

DAEMON_SLEEP = 30s                           #当以后台方式运行时,每读一次日志文件的时间间隔。

DAEMON_PURGE = 10m                           #当以后台方式运行时,清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔。

RESET_ON_SUCCESS = yes                      #如果一个ip登陆成功后,失败的登陆计数是否重置为0
 服务启动成功之后,就可以手动尝试了
 
5. 验证
  根据denyhosts配置中设置的策略会将试图破解的IP加入到/etc/hosts.deny,当你再去访问的时候,会出现一个错误:
        ssh_exchange_identification: read: Connection reset by peer
  说明已经成功,并且在我们的/etc/hosts.deny中会看到该IP地址
 
 6. 移除已经加入黑名单的IP
  删除一个已经禁止的主机IP,并加入到允许主机例表,只在 /etc/hosts.deny 删除是没用的。需要进入工作 目录(WORK_DIR),进入以下操作:
  1)停止服务
service denyhosts stop

  2)

在 /etc/hosts.deny 中删除你想取消的主机IP

  3)编辑文件

[root@xxx data]# pwd

/usr/share/denyhosts/data

[root@xxx data]# grep 117.78.49.95  *

hosts:117.78.49.95:12:Tue Jan  2 23:25:32 2018

hosts-restricted:117.78.49.95:0:Tue Jan  2 22:48:20 2018

hosts-root:117.78.49.95:1:Tue Jan  2 23:25:02 2018

hosts-valid:117.78.49.95:0:Tue Jan  2 22:54:30 2018

users-hosts:qq - 117.78.49.95:3:Tue Jan  2 22:54:30 2018

users-hosts:root - 117.78.49.95:11:Tue Jan  2 23:25:02 2018
删除

sed -i "/117.78.49.95/d" *

  4)  重启服务

systemctl restart denyhosts.service

其他命令:

systemctl start denyhosts.service

systemctl stop denyhosts.service

systemctl status denyhosts.service

  5) 暴力添加白名单

tee -a /etc/hosts.allow
117.78.49.95
 

cat /etc/hosts.allow

sshd: 117.78.49.95
 
 
 
 
 
 
 
 
 
 
 

服务器安全之DenyHosts的更多相关文章

  1. DenyHosts 阻止SSH暴力攻击

    当你的 Linux 服务器暴露在互联网之中,该服务器将会遭到互联网上的扫描软件进行扫描,并试图猜测SSH登录口令. 你会发现,每天会有多条SSH登录失败纪录.那些扫描工具将对你的服务器构成威胁,你必须 ...

  2. 防止暴力破解-DenyHosts应用

    当你的linux服务器暴露在互联网之中,该服务器将会遭到互联网上的扫描软件进行扫描,并试图猜测SSH登录口令.   你会发现,每天会有多条SSH登录失败纪录.那些扫描工具将对你的服务器构成威胁,你必须 ...

  3. Linux 利用hosts.deny 防止暴力破解ssh

    一.ssh暴力破解 利用专业的破解程序,配合密码字典.登陆用户名,尝试登陆服务器,来进行破解密码,此方法,虽慢,但却很有效果. 二.暴力破解演示 2.1.基础环境:2台linux主机(centos 7 ...

  4. 防止服务器被暴力破解使用DenyHosts

    公司有台服务器被坏人盯上了,通过日志可以看到一直在做暴力破解ssh. 防止服务器被暴力破解使用DenyHosts 参考链接: 防止ssh破解,Ubuntu安装denyhosts的一些问题 防止你的ss ...

  5. 增强VPS SSH账号安全:改端口,禁用Root,密钥登录,Denyhosts防暴力攻击

    VPS SSH账号是我们日常管理VPS的主要登入方式,尤其是Root账号,对Linux系统安全至关重要.以前好多站长喜欢用Putty中文版,这实际是别人修改官方Putty汉化而来,这些软件被植入了后门 ...

  6. linux防止sshd被爆破(安装denyhosts)

    这是一篇收集在日志里的文档,当初查看服务器sshd日志发现很多不明IP尝试登陆,因此想用什么办法阻止这样的事情发生.网上找了下用denyhosts可以解决这样的问题,因而也就将其收集在日志里了.由于时 ...

  7. DenyHosts 安装及配置详解

    DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP ...

  8. 解除被DenyHosts锁定的IP地址

    自己的本本无法ssh上服务器,提示 ssh_exchange_identification: read: Connection reset by peer 仔细回想,自己手贱把~下面的一个ssh文件删 ...

  9. 在Linux上怎么安装和配置DenyHosts工具

    使用DenyHosts能够进行自动屏ip的功能,掌握DenyHosts在Linux系统中的安装是很有必要的,那么在Linux系统中要如何安装DenyHosts工具呢?安装后又要如何配置呢?这都是用户需 ...

  10. PUTTY无法远程连接服务器故障解决[转]

    对于一个刚刚了解putty工具的新手来说,在putty工具使用中有时出现了问题而无法解决.今天就来介绍怎么解决putty无法远程连接服务器的故障. 用putty远程连接服务器时,提示错误 server ...

随机推荐

  1. ASP.NET Core – Logging & Serilog

    前言 以前就写过了 Asp.net core 学习笔记 (Logging 日志), 只是有点乱, 这篇作为整理版. 参考: docs – Logging in .NET Core and ASP.NE ...

  2. 从0开始计算机体系结构的学习(一):FGPA预备知识与Vivado环境搭建

    引入与预备知识 什么是FPGA? FPGA(Field-Programmable Gate Array,现场可编程门阵列)是一种集成电路(IC),其硬件功能可以通过用户在现场编程来定义.与传统的ASI ...

  3. 数字产品护照 (DPP) 解决方案:利用 Blazor 和区块链实现产品全生命周期追踪

    数字产品护照 (DPP) 解决方案:利用 Blazor 和区块链实现产品全生命周期追踪 随着全球对可持续发展和产品透明度的关注日益增加,企业需要一种可靠的方法来跟踪和管理产品生命周期中的关键数据.我们 ...

  4. 《Vue.js 设计与实现》读书笔记 - 第6章、原始值的响应式方案 & 响应式总结

    第6章.原始值的响应式方案 6.1 引入 ref 的概念 既然原始值无法使用 Proxy 我们就只能把原始值包裹起来. function ref(val) { const wrapper = { va ...

  5. 最小代价的 SSO 单点登录方案

    现在有多个 WebApp,想用最小的代价实现 SSO 单点登录.所谓最小代价,我的理解就是对原有 WebApp 的改动最小,因此 在旁路增加一个 SsoWebApp 用于管理 SSO 的账号,进行身份 ...

  6. JIT编译选项

    JIT(Just-In-Time)优化在编译过程中有多种编译选项可以支持,不同语言和平台可能有不同的实现.以通用的 JIT 编译器为例,以下是一些常见的编译选项: 编译级别(Compilation L ...

  7. CNN归纳偏好

    出处:Transformer为何能闯入CV界秒杀CNN? CNN 中的卷积运算由于使用了两个重要的空间约束,从而有助于视觉特征的学习和提取: 由于 CNN 权重共享机制,卷积层所提取的特征便具有平移不 ...

  8. 前端 export default 和 export const name 的区别?

    export default 是默认导出export const 是命名导出 在一个vue文件中export const可以有多个,但是export default只有且仅有一个,{}表示导入非默认变 ...

  9. js自动调用 click 事件

    // 进入页面立即触发 (()=>{ // 兼容IE if(document.all) { document.getElementById("aid").click(); } ...

  10. AI网关在应用集成中起到什么作用?

    现在,国内外几乎每个SaaS服务商都找到办法把大型语言模型(LLM)集成到自己的产品里.印证了那句话"每款SaaS都值得用AI重做一遍"我们暂且不讨论是否值得用AI重做,但是增加A ...