• DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(默认是/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,启用tcp_wrappers,从而达到自动屏IP的功能。 通过...

    文章出处:http://coolnull.com/2068.html


    说明:
    DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(默认是/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,启用tcp_wrappers,从而达到自动屏IP的功能。 通过http://denyhosts.sourceforge.net可以下载DenyHosts的程序,可以直接下载rpm包来安装,也可以通过src.rpm包重新编译并安装等,通过这种方式默认是安装在/usr/share/denyhosts目录下。

    实现:

    1. 安装DenyHosts-2.6.tar.gz

    # wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
    # tar zxvf DenyHosts-2.6.tar.gz
    # cd DenyHosts-2.6
    # yum install python -y  //yum安装python,系统基本都有
    # python setup.py install


    2. 拷贝默认文件

    # cd /usr/share/denyhosts/
    # cp denyhosts.cfg-dist denyhosts.cfg
    # cp daemon-control-dist daemon-control
    


    3. 编辑配置文件denyhosts.cfg

    # vim denyhosts.cfg  //该配置文件结构比较简单,简要说明主要参数如下:
    PURGE_DENY:当一个IP被阻止以后,过多长时间被自动解禁。可选如3m(三分钟)、5h5小时)、2d(两天)、8w8周)、1y(一年);
    PURGE_THRESHOLD:定义了某一IP最多被解封多少次。即某一IP由于暴力破解SSH密码被阻止/解封达到了PURGE_THRESHOLD次,则会被永久禁止;
    BLOCK_SERVICE:需要阻止的服务名;
    DENY_THRESHOLD_INVALID:某一无效用户名(不存在的用户)尝试多少次登录后被阻止;
    DENY_THRESHOLD_VALID:某一有效用户名尝试多少次登陆后被阻止(比如账号正确但密码错误),root除外;
    DENY_THRESHOLD_ROOTroot用户尝试登录多少次后被阻止;
    HOSTNAME_LOOKUP:是否尝试解析源IP的域名;
    大家可以根据上面的解释,浏览一遍此配置文件,然后根据自己的需要稍微修改即可。

    4.  启动Denyhosts

    # ./daemon-control start

    5.  设置自动启动,让DenyHosts每次重启后自动启动。设置自动启动可以通过两种方法进行。

    第一种是将DenyHosts作为类似apachemysql一样的服务,这种方法可以通过 /etc/init.d/denyhosts 命令来控制其状态。方法如下:
    # cd /etc/init.d
    # ln -s /usr/share/denyhosts/daemon-control denyhosts
    # chkconfig --add denyhosts
    # chkconfig --level 2345 denyhosts on
    第二种是将Denyhosts直接加入rc.local中自动启动(类似于Windows中的“启动文件夹”):
    # echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.local

    如果想查看已经被阻止的IP,打开/etc/hosts.deny 文件即可。



    附录:
    附录1.各系统ssh日志位置

    ssh日志文件,如果是redhat系列是根据/var/log/secure文件来判断的;Mandrake、FreeBSD是根据 /var/log/auth.log来判断的,而SUSE则是用/var/log/messages来判断的。这些在配置文件里面都有很详细的解释。

    附录2.当我把denyhosts安装上启动后,结果/etc/hosts.deny文件中马上就有了我自己的ip地址在里面!晕死,我在安装后根本就还没有尝试登录过啊,又怎么被限制?
    分析:我在rhel6和centos6上分别安装了denyhosts软件。结果均出现此情况。我想,既然它是根据/var/log/secure文件中登录失败记录来是判断是否违规,那么,会不会是我在安装denyhosts之前的secure中的失败登录记录也被算作违规呢?那么我删了应该就不会有问题了吧。
    办法:cat /dev/null > /var/log/secure 即把secure日志文件全部清空!要注意的是,清空后要service syslog restart(也有可能是rsyslog) 重启日志记数器!因为如果你不重启服务,你会发现secure日志文件会停止记录一切活动了!那么denyhosts也就无效了。
    结果:如果安装前就先清空,在安装denyhosts后,就不会自动出现禁止的IP了。
    原理:根据官方FAQ上关于denyhosts对监控secure日志文件更新的原理,可以理解上述问题的原因。官方说明大概是这样的:denyhosts在/usr/share/denyhosts/data(即WORK_DIR)中的offset文件中记录了secure的首行记录。
    如果说offset文件中的首行记录和现有secure中的首行记录相同,则比较现有secure和offset中最后记录的secure文件的大小,如果现有secure比记录中的secure文件大,则将secure中新增加的部分进行分析,并将新增加的失败登录行记录在了denyhosts记数器中。比如原来记录了root有3次登录失败,这次新增行中又发现了2次,那么一共就5次记录了。当超过DENY_THRESHOLD_ROOT中设立的值时,便将该IP加入hosts.deny中。如果现有secure文件和offset中记录的文件大小相同,则认为secure日志未更新。不做任何操作
    如果offset文件中首行记录和现有secure中的首行记录不同,那么则认为secure文件是全新的。那么,offset会重新分析secure日志的所有行。
    如果我们刚安装denyhosts,那么offset中并不会有secure日志文件头,也不会有secure日志文件大小的记录,那么denyhosts自然会分析所有的secure日志行,于是乎,我在安装denyhost前一周的所有的登录失败次数被累计起来,如果我在上一周内登录失败记录超过限制数,那么肯定就会在启动denyhosts后马上被加入黑名单了!(为什么是一周之内?因为secure日志文件记录的周期为一个星期!)

    附录3.在另一台机器上我设置了DENY_THRESHOLD_ROOT=5 ,安装后结果我root用户才输错一次密码就给我封杀了!按参数意思应该是5次机会啊!不用这么绝吧!
    和第一个问题是一个原因。只要先将secure清空再安装,一切就正常了。原因是,root用户在安装前就有了失败的记录,影响到denyhosts的次数判断。如你安装denyHosts之前root已经错误登录4次。那么你再用root登录1次就会发现登录不了了。我的其实安装denyhosts前日志中的记录就已经有4次了,所以马上被封杀了。

    附录4.我设置了PURGE_DENY=3m,即3分钟清除hosts.deny中添加的记录。结果我苦等十分钟还不见/etc/hosts.deny中添加的ip被清除!这不是存心不让我再次登录了吗?好在我当前的ssh连接没断开。要断开了岂不没得连了?
    还需要修改/usr/share/denyhosts/denyhosts.cfg中的DAEMON_PURGE = 3m,这个参数与PURGE_DENY=3m一样,感觉都是用于设置当某个ip 3分钟不再重新ssh登陆,将此ip从/etc/hosts.deny删除。DAEMON_PURGE = 3m可以设置长点,如1h,这里设置为3m主要是为了测试快。总不能等1小时吧。

    附录5.这个所谓的阻止暴力破解,貌似只对ssh连接有效,我用ftp登录,然后不停的尝试登录,结果却没有被添加进阻止。
    这个,我没有去试!

    附录6.我将hosts.deny文件中的用户列表删除后,不久后竟然又自动给添加进来了!我@#¥¥。。难道硬是不让我再次登录了?!!
    参考了官方文档才发现,原来不能单纯的只删除hosts.deny中的记录,要想删干净,得先service denyhosts stop .然后再把/usr/share/denyhosts/data目录下的其它文件中关于hosts.deny中的IP记录一并清空。再service denyhosts start即可。但有的时候只清除hosts.deny中的文件也可以。

    附录7.denyhosts日志位置
    # less /var/log/denyhosts

    参考:
    看这位仁兄的文章,他当初搞这个,肯定搞得很郁闷。特此记录下

    http://linuxroad.blog.51cto.com/765922/673425




    展开全文
  • DenyHosts是用Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 1. 到官网下载DenyHosts DenyHosts官网:...

    当你的linux服务器暴露在互联网之中,该服务器将会遭到互联网上的扫描软件进行扫描,并试图猜测SSH登录口令。

    你会发现,每天会有多条SSH登录失败纪录。那些扫描工具将对你的服务器构成威胁,你必须设置复杂登录口令,并将尝试多次登录失败的IP给阻止掉,让其在一段时间内不能访问该服务器。

    DenyHosts是用Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。

    1. 到官网下载DenyHosts

    DenyHosts官网:http://denyhosts.sourceforge.net/

    2. 解压并安装

    # 官网下载包安装
    tar zxvf DenyHosts-2.6.tar.gz
    cd DenyHosts-2.6
    yum install python -y
    python setup.py install
    cd /usr/share/denyhosts/   
    cp denyhosts.cfg-dist denyhosts.cfg      //配置文件
    cp daemon-control-dist daemon-control    //启动文件
    chown root daemon-control    // 添加root 权限
    chmod 700 daemon-control     // 修改为可执行文件
    ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts  // 对daemon-control进行软连接,方便管理
    
    安装到这一步就完成了。
    /etc/init.d/denyhosts start        // 启动denyhosts
    chkconfig --add denyhosts
    chkconfig denyhosts on             // 将denghosts设成开机启动


    3 .设置配置文件

     

    
    [root@miner—k ~]#vim /usr/share/denyhosts/denyhosts.cfg        
    
           ############ THESE SETTINGS ARE REQUIRED ############
    
    SECURE_LOG = /var/log/secure                  #ssh 日志文件 #redhat系列根据/var/log/secure文件来判断;
                                                               #Mandrake、FreeBSD根据 /var/log/auth.log来判断;
                                                               #SUSE则是用/var/log/messages来判断,这些在配置文件里面都有很详细的解释。
    HOSTS_DENY = /etc/hosts.deny                  #控制用户登录的文件
    PURGE_DENY = 30m                              #过多久后清除已经禁止的,设置为30分钟;
    # ‘m’ = minutes
    # ‘h’ = hours
    # ‘d’ = days
    # ‘w’ = weeks
    # ‘y’ = years
    BLOCK_SERVICE = sshd                         #禁止的服务名,当然DenyHost不仅仅用于SSH服务
    DENY_THRESHOLD_INVALID = 1                   #允许无效用户失败的次数
    DENY_THRESHOLD_VALID = 3                     #允许普通用户登陆失败的次数
    DENY_THRESHOLD_ROOT = 3                      #允许root登陆失败的次数
    
    DENY_THRESHOLD_RESTRICTED = 1                #设定 deny host 写入到该资料夹  
    WORK_DIR = /usr/share/denyhosts/data     #将deny的host或ip记录到work_dir中  
    SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES  
    HOSTNAME_LOOKUP=YES                         #是否做域名反解  
    LOCK_FILE = /var/lock/subsys/denyhosts      #将DenyHost启动的pid记录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务
    
           ############ THESE SETTINGS ARE OPTIONAL ############
    ADMIN_EMAIL =                           #管理员邮箱
    SMTP_HOST = 
    SMTP_PORT = 
    SMTP_FROM = 
    SMTP_SUBJECT = DenyHosts Report         #邮件主题
    AGE_RESET_VALID=5m                      #有效用户登录失败计数归零的时间
    AGE_RESET_ROOT=10m                      #root用户登录失败计数归零的时间
    AGE_RESET_RESTRICTED=10m                #用户的失败登录计数重置为0的时间(/usr/share/denyhosts/data/restricted-usernames)
    AGE_RESET_INVALID=5m                    #无效用户登录失败计数归零的时间
    
    
       ######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE  ##########
    
    
    DAEMON_LOG = /var/log/denyhosts              #DenyHosts日志文件存放的路径,默认
    DAEMON_SLEEP = 30s                           #当以后台方式运行时,每读一次日志文件的时间间隔。
    DAEMON_PURGE = 10m                           #当以后台方式运行时,清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔。
    RESET_ON_SUCCESS = yes                      #如果一个ip登陆成功后,失败的登陆计数是否重置为0
    

    配置完后  重启即可 

    /etc/init.d/denyhosts restart

    清除一个禁止的IP

    删除一个已经禁止的主机IP,并加入到允许主机例表,只在 /etc/hosts.deny 删除是没用的。需要进入工作 目录(WORK_DIR),进入以下操作:

    1、停止DenyHosts服务:

    service denyhosts stop

    2、在 /etc/hosts.deny 中删除你想取消的主机IP 
    3、编辑 DenyHosts 工作目录的所有文件,通过

    [root@miner-k data]# pwd
    /usr/share/denyhosts/data
    
    [root@miner-k data]# grep 117.78.49.95  *
    hosts:117.78.49.95:12:Tue Jan  2 23:25:32 2018
    hosts-restricted:117.78.49.95:0:Tue Jan  2 22:48:20 2018
    hosts-root:117.78.49.95:1:Tue Jan  2 23:25:02 2018
    hosts-valid:117.78.49.95:0:Tue Jan  2 22:54:30 2018
    users-hosts:qq - 117.78.49.95:3:Tue Jan  2 22:54:30 2018
    users-hosts:root - 117.78.49.95:11:Tue Jan  2 23:25:02 2018

    4、 添加你想允许的主机IP地址到 allowed-hosts(如果有)

    5、启动DenyHosts服务:/etc/init.d/denyhosts start

    或者简单粗暴的直接允许访问

    [root@miner-k denyhosts]# cat /etc/hosts.allow
    sshd: 117.78.49.95
    展开全文
  •  使用DenyHosts能够进行自动屏ip的功能,掌握DenyHostsLinux系统中的安装是很有必要的,那么在Linux系统中要如何安装DenyHosts工具呢?安装后又要如何配置呢?这都是用户需要学习的。    denyhosts是一个安全...

      使用DenyHosts能够进行自动屏ip的功能,掌握DenyHosts在Linux系统中的安装是很有必要的,那么在Linux系统中要如何安装DenyHosts工具呢?安装后又要如何配置呢?这都是用户需要学习的。

     

      denyhosts是一个安全工具,用Python编写的,用于监视服务器访问日志,防止虚拟专用服务器蛮力攻击。该项目工程通过禁止超过一定次数的失败登录尝试的IP地址。

      步骤一、安装denyhosts

      是的,denyhosts很容易安装在Ubuntu

      sudo apt-get install denyhosts

      一旦程序下载完成后,denyhosts将自动安装和配置在你的VPS上。

      步骤二、白名单的IP地址

      在您安装的denyhosts,一定要白名单自己的IP地址。跳过此步骤将让你在锁定自己出你自己的机器的风险。

      打开允许在您的VPS允许的主机列表:

      sudo nano /etc/hosts.allow

      根据描述,在不能从服务器禁止任何IP地址添加,你可以写每一个单独的行上,使用这种格式:

      sshd: yourip

      在进行任何更改后,一定要重新启动denyhosts以使新的设置把你的虚拟专用服务器上的效果:

      sudo /etc/init.d/denyhosts restart

      步骤三(可选)配置的denyhosts

      是的,denyhosts随时使用,只要安装就结束了。

      但是,如果你想自定义你的VPS的denyhosts的行为,可以使DenyHost配置文件中的变化:

      sudo nano /etc/denyhosts.conf

      DenyHosts参数配置

      # cd /usr/share/denyhosts/ #DenyHosts默认安装目录

      # cp denyhosts.cfg-dist denyhosts.cfg

      # vi denyhosts.cfg #DenyHosts配置文件

      SECURE_LOG = /var/log/secure #ssh日志文件

      # format is: i[dhwmy]

      # Where i is an integer (eg. 7)

      # m = minutes

      # h = hours

      # d = days

      # w = weeks

      # y = years

      #

      # never purge:

      PURGE_DENY = 50m #过多久后清除已阻止IP

      HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny

      BLOCK_SERVICE = sshd #阻止服务名

      DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数

      DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数

      DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数

      WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中

      DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹

      LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。

      HOSTNAME_LOOKUP=NO #是否做域名反解

      ADMIN_EMAIL = #设置管理员邮件地址

      DAEMON_LOG = /var/log/denyhosts #自己的日志文件

      DAEMON_PURGE = 10m #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间。

      DenyHosts启动文件配置

      # cp daemon-control-dist daemon-control

      # chown root daemon-control

      # chmod 700 daemon-control

      # 。/daemon-control start #启动DenyHosts

      #ln -s /usr/share/denyhosts/daemon-control /etc/init.d #对daemon-control进行软连接,方便管理

      安装到这一步就完成了。

      #/etc/init.d/daemon-control start #启动denyhosts

      #chkconfig daemon-control on #将denghosts设成开机启动

      加入到自动重启

      # vi /etc/rc.local

      加入下面这条命令

      /usr/share/denyhosts/daemon-control start

      查看攻击ip 记录

      # vi /etc/hosts.deny

      上面就是Linux安装配置DenyHosts的方法介绍了,配置好DenyHosts工具后,你就能使用DenyHosts对日志文件进行分析了。

    展开全文
  • 网上找了下用denyhosts可以解决这样的问题,因而也就将其收集在日志里了。由于时间较久远,找不到原文的出处,如果你知道原文出处,可以联系我加上。好了,入正题。  Denyhosts 是一个以Python2.3编写的程序,它...

      这是一篇收集在日志里的文档,当初查看服务器sshd日志发现很多不明IP尝试登陆,因此想用什么办法阻止这样的事情发生。网上找了下用denyhosts可以解决这样的问题,因而也就将其收集在日志里了。由于时间较久远,找不到原文的出处,如果你知道原文出处,可以联系我加上。好了,入正题。

      Denyhosts 是一个以Python2.3编写的程序,它主要根据系统日志文件/var/log/secure文件分析,当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。

      一、检查安装环境:

        1) 判断系统安装的sshd是否支持tcp_wrappers(默认都支持),命令如下:

    ldd /usr/sbin/sshd |grep libwrap.so.0

        如果有输出:libwrap.so.0 => /lib64/libwrap.so.0 则为支持

        2)判断是否有python(centos默认都有):

    python -V

        只要系统Python版本不小于2.3版本即可(本机版本为Python 2.6.5)。

      二、安装DenyHosts

        1、下载DenyHosts-2.6.tar.gz并上传到服务器,可以在http://denyhosts.sourceforge.net/上下载最新的程序。

        2、安装

          1)、解压

    tar -zxvf DenyHosts-2.6.tar.gz

          2)、安装

    cd DenyHosts-2.6
    python setup.py install

    程序脚本自动安装在:/usr/share/denyhosts目录
    库文件安装在:/usr/lib/python2.6/site-packages/DenyHosts目录下
    denyhosts.py默认安装在:/usr/bin/目录下

        3、设置启动脚本

    cd /usr/share/denyhosts/
    cp daemon-control-dist daemon-control
    chown root daemon-control
    chmod 700 daemon-control

    ##将denyhosts.cfg-dist中不是以"#"开头的行,写入denyhosts.cfg文件

    grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg

          编辑denyhosts.cfg

    vi denyhosts.cfg

    具体配置项可参考以下的配置:

     ############ THESE SETTINGS ARE REQUIRED ############
                ##分析源文件
                SECURE_LOG = /var/log/secure
                ##禁止sshd登陆的IP存放文件
                HOSTS_DENY = /etc/hosts.deny
                
                ##过多久后清除已经禁止的IP
                PURGE_DENY =  1d
                
                
                ##监控的服务名
                BLOCK_SERVICE  = sshd
                
                ##表示允许无效用户登录失败的次数
                DENY_THRESHOLD_INVALID = 3
                
                ##表示允许普通用户登录失败的次数
                DENY_THRESHOLD_VALID = 3
                
                ##表示允许root用户登录失败的次数
                DENY_THRESHOLD_ROOT = 3
                
                
                DENY_THRESHOLD_RESTRICTED = 1
                
                
                WORK_DIR = /usr/share/denyhosts/data
                
                SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
                
                ##是否做域名反解
                HOSTNAME_LOOKUP=NO
                
                
                LOCK_FILE = /var/lock/subsys/denyhosts

        4、将denyhosts添加到系统服务并自动启动

    1)、自启动

    vi /etc/rc.local 

    在末尾添加以下行

    /usr/share/denyhosts/daemon-control start

    2)、添加至系统服务

    ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
    chkconfig --add denyhosts
    chkconfig --level 345 denyhosts on

    5、启动denyhosts

    service denyhosts start

        6、查看denyhosts是否运行成功

    service denyhosts status

        显示:DenyHosts is running with pid = XXXX,即运行成功。

        7、至此,denyhosts也就配置完成了;此外将sshd的默认端口修改掉,再结合denyhosts可以防止大部分sshd的暴力破解了。

    展开全文
  • linux服务器不得不注意的安全问题--ssh暴力破解--denyhosts解决 2010-03-24 14:31:42 标签:linux系统 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律...
    linux服务器不得不注意的安全问题--ssh暴力破解--denyhosts解决
    2010-03-24 14:31:42
    标签:linux系统
    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://tech110.blog.51cto.com/438717/287490
    最近一直关注Linux服务器的的/var/log/secure文件,发现里面有大量的ssh失败尝试记录,如下
    查看了该IP的尝试次数和时间,一直从凌晨4点到下午1点
    多达9288次的扫描,从图中可以看出正在尝试各种用户名来连接,真他妈的没事干,也不知道用什么破软件在那里无聊,幸好我的密码也够复杂,要不然嘿嘿..........
    我服务器上的secure有多个,按时间进行截取的,我对其中的secure.1文件进行统计。
    获取其中的ip地址和数量:
    # grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq -c
    如此之多,让我不禁冒出冷汗,真吓人,也不知道我的服务器上面有什么好东西,那么喜欢,真二!!!!当然如果是自己通过ssh成功连接,记录也会在这里面。
    为了防止此类无聊之人再次光临,就得想办法不让他们进行扫描,本人在网上查找资料,得知Denyhosts软件可以达到该效果,DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。如果是手动添加的话不把人累死才怪。
    DenyHosts官方网站为:http://denyhosts.sourceforge.net
     本文已附上附件,是从该网站下载的,版本为较新的2.6版。
    一:检查安装要求
    首选检查Sshd是否支持 Tcpwrap,只有支持Tcpwrap才可以安装Denyhost
    # ldd /usr/sbin/sshd |grep wrap
    libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00864000) //出现此信息时表示支持
    再检查 Python的版本,Python2.3以上版本可以直接安装
    # python -V
    Python 2.4.3
    均达到要求
    二:安装Denyhosts
    先下载该软件,然后解压安装
    进行解压再进入到源目录
    # tar -xzvf  DenyHosts-2.6.tar.gz
    # cd  DenyHosts-2.6

    执行Python脚本进行安装,
     # python  setup.py  install
    程序脚本自动安装到/usr/share/denyhosts      
    库文件自动安装到/usr/lib/python2.4/site-packages/DenyHosts      
    denyhosts.py安装到/usr/bin
    三: 设置启动脚本
    # cd  /usr/share/denyhosts/
    拷贝模板文件
    # cp daemon-control-dist daemon-control
    设置好启动脚本的所属用户和权限
    # chown  root  daemon-control
    # chmod  700  daemon-control

    生成Denyhost的主配置文件,(将模板文件中开头是#的过滤后再导入到Denyhost.cfg)
    # grep  -v  "^#"  denyhosts.cfg-dist  > denyhosts.cfg
    编辑Denyhost.cfg文件,根据自己需要进行相应的修改      
    ----------------denyhosts.cfg--------------------------------------     
    SECURE_LOG = /var/log/secure   #ssh 日志文件,它是根据这个文件来判断的,如还有其他的只要更改名字即可,例如将secure改为secure.1等
    HOSTS_DENY = /etc/hosts.deny 
    #控制用户登陆的文件,将多次连接失败的IP添加到此文件,达到屏蔽的作用      
    PURGE_DENY =      
    #过多久后清除已经禁止的,我这里为空表示永远不解禁
    BLOCK_SERVICE  = sshd
    #禁止的服务名,如还要添加其他服务,只需添加逗号跟上相应的服务即可
    DENY_THRESHOLD_INVALID = 1      
    #允许无效用户失败的次数        
    DENY_THRESHOLD_VALID = 2    
    #允许有效用户登录失败的次数           
    DENY_THRESHOLD_ROOT = 3      
    #允许root登录失败的次数           
    HOSTNAME_LOOKUP=NO      
    # 是否做域名反解,这里表示不做 
    ADMIN_EMAIL = 。。。。
    #管理员邮件地址,它会给管理员发邮件 
    DAEMON_LOG = /var/log/denyhosts 
    #自己的日志文件
    其他:
    AGE_RESET_VALID=5d     #(h表示小时,d表示天,m表示月,w表示周,y表示年)
    AGE_RESET_ROOT=25d
    AGE_RESET_RESTRICTED=25d
    AGE_RESET_INVALID=10d
    #用户的登陆失败计数会在多长时间后重置为0
    RESET_ON_SUCCESS = yes
    #如果一个ip登陆成功后,失败的登陆计数是否重置为0
    DAEMON_SLEEP = 30s
    #当以后台方式运行时,每读一次日志文件的时间间隔。
    DAEMON_PURGE = 1h 
    #当以后台方式运行时,清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔。
    将 Denyhost启动脚本添加到自动启动中
    # echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local
    启动Denyhost的进程
    # /usr/share/denyhosts/daemon-control start
    可以查看到Denyhost在运行中
    # ps -ef |grep deny
    在另外一台机器上使用ssh进行连接,当在连续几次输入错误的密码后,会被自动阻止掉,在一定时内不可以再连接ssh连接记录的日志文件。
    查看我的/etc/hosts.deny文件发现里面已经有135条记录。
    # cat /etc/hosts.deny | wc -l
    135

    启动时出现了错误,可以使用下面方式解决
    ./daemon-control start
    starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
    Can't read: /private/var/log/system.log
    [Errno 2] No such file or directory: '/private/var/log/system.log'
    Error deleting DenyHosts lock file: /var/lock/subsys/denyhosts
    [Errno 2] No such file or directory: '/var/lock/subsys/denyhosts'

    使用:

    mkdir -p /private/var/log/
    mkdir -p /var/lock/subsys/

    ./daemon-control start
    starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
    Can't read: /private/var/log/system.log
    [Errno 2] No such file or directory: '/private/var/log/system.log'
    Error deleting DenyHosts lock file: /var/lock/subsys/denyhosts
    [Errno 2] No such file or directory: '/var/lock/subsys/denyhosts'

    使用:

    touch /private/var/log/system.log
    touch /var/lock/subsys/denyhosts

    ./daemon-control start
    出现:
    starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
    DenyHosts could not obtain lock (pid: )
    [Errno 17] File exists: '/var/lock/subsys/denyhosts'

    使用:
    rm -f /var/lock/subsys/denyhosts
    ./daemon-control start
    starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py –daemon –config=/usr/share/denyhosts/denyhosts.cfg
    OK!
    启动完成啦。
    你可以使用
    service denyhosts status来查看运行状态
    DenyHosts is running with pid = 25874 表示已经启动起来了。
    接下来就可以使用
    cat /etc/hosts.deny来查看记录了

    #service denyhost start
    starting DenyHosts:   /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
    python: can't open file '/usr/bin/denyhosts.py': [Errno 2] No such file or directory
    经过查找发现denyhosts.py在目录/usr/local/bin/目录下,于是修改daemon-control文件
    #vi daemon-control
    DENYHOSTS_BIN   = "/usr/bin/denyhosts.py"
    DENYHOSTS_LOCK  = "/var/lock/subsys/denyhosts"
    DENYHOSTS_CFG   = "/usr/share/denyhosts/denyhosts.cfg"
     
    将第一行修改为DENYHOSTS_BIN   = "/usr/local/bin/denyhosts.py"

    在运行还会提示错误:导入Python版本错误的提示。如:
    Traceback (most recent call last):
    File "/usr/local/bin/denyhosts.py", line 5, in 
    import DenyHosts.python_version
    ImportError: No module named DenyHosts.python_version
    到这里错误很明了了,经过查询发现版本不对会导致这个问题。

     分析后发现原因在此:以前本机已经有一个python2.4的版本,使用rpm安装的,默认的路径是/usr/lib/python2.4,因为要升级python2.5,也没有对卸载这个2.4的版本,使用编译安装的python2.5,安装路径并没有配置,这默认安装到/usr/local/lib/python2.5这个路径,而目前激活的python环境是2.5的,可能因为denyhosts安装时会根据环境查找安装,因此会在/usr/local/lib/python2.5/site-packages路径下安装Denyhosts这个文件夹。当运行denyhosts时,脚本会指定使用的是/usr/lib/python*这个路径的python里(暂时没找到脚本哪个地方指定),因此它无法定位python的版本,会出现这个错误。

    最快速的解决方法是把/usr/local/lib/python2.5/site-packages路径下的Denyhosts文件夹整个拷贝到2.4的安装目录下即可。
    进入/usr/local/lib/python2.5/site-packages/目录#cd /usr/local/lib/python2.5/site-packages/
    #cp –rp Denyhosts /usr/lib/python2.4/ site-packages/
     
    这样之后便可以启动Denyhosts了。
     
     
    关于错误
    Traceback (most recent call last): 
      File "/usr/local/python-2.4/bin/denyhosts.py", line 5, in ? 
        import DenyHosts.python_version 
    ImportError: No module named DenyHosts.python_version 
    需要修改下面的部分:
    1、/usr/share/denyhosts/daemon-control 
    PYTHON_BIN      = "/usr/bin/env python" 
    改为 
    PYTHON_BIN     = "/usr/local/python-2.4/bin/python" 
    #!/usr/bin/env python 
    改为
    #!/usr/local/python-2.4/bin/python 
    DENYHOSTS_BIN   = "/usr/bin/denyhosts.py" 
    改为
    DENYHOSTS_BIN   = "/usr/local/python-2.4/bin/denyhosts.py" 
    2.
    cp -rp /usr/local/python-2.4/lib/python2.4/site-packages/DenyHosts/  /usr/local/python-2.4/lib/python2.4/

    展开全文
  • 这几天登陆时,发现自己的京东云服务器有大量的远程桌面破解信息,而且ip都不一样,作为一个对后端和安全了解甚少的小白,就只能度娘怎么防止这种情况,发现比较多的方法是通过DenyHosts脚本来实现,简单说就是将多...
  • 使用linux做服务器的你,有没有想过,对于暴露在互联网上的linux系统,其实每天都有很多ip地址过来的尝试登录。 找一台运行着linux服务器的暴露在外网上的服务器,运行如下命令: sudo grep -o '[0-9]\{1,3\}\.[0-...
  • DenyHosts安装与配置DenyHosts 安装/usr/share/denyhosts/denyhosts.cfg 配置文件中的几个核心项 DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击是就会记录IP到/...
  • 现在的互联网非常不安全,很多人没事就拿一些扫描机扫描ssh端口,然后试图连接ssh端口进行暴力破解(穷举扫描),所以建议vps主机的空间,尽量设置复杂的ssh登录密码,虽然在前段时间曾经介绍过Linux VPS禁止某个IP...
  • DenyHosts安装及配置

    2019-06-17 15:02:35
    最近查看linux系统日志,发现有很多陌生的公网ip在不断对服务器...Denyhosts是一个用Python编写的脚本,它会分析sshd的日志文件,当发现重复的***时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。具...
  • DenyHosts安装与部署

    2018-01-10 20:40:17
    DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 安装 ...
  • DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。如果是手动添加的话不把人累死才怪。 ...
  • DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(默认是/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,启用tcp_wrappers,从而达到自动屏IP的功能。 通过http://denyh...
  • DenyHosts的安装配置

    2017-10-23 14:50:58
    一、DenyHost简介DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的...
  • 当你的 Linux 服务器暴露在互联网之中,该服务器将会遭到互联网上的扫描软件进行扫描,并试图猜测SSH登录口令。 你会发现,每天会有多条SSH登录失败纪录。那些扫描工具将对你的服务器构成威胁,你必须设置复杂登录...
  • 当你的linux服务器暴露在互联网之中,该服务器将会遭到互联网上的扫描软件进行扫描,并试图猜测SSH登录口令你会发现,每天会有多条SSH登录失败纪录。那些扫描工具将对你的服务器构成威胁,你必须设置复杂登录口令,...
  • DenyHosts 是一个使用 Python2.3 编写的程序,它会分析 /var/log/secure 等日志文件。当发现同一 IP 在进行多次 SSH 密码尝试时就会记录 IP 到 /etc/hosts.deny 文件,从而达到自动屏蔽该 IP 的目的。 之前...
  • centos7安装配置denyhosts

    2019-08-04 00:21:53
    DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。 1. 到官网下载DenyHosts DenyHosts官网:...
  • Denyhosts安装与错误排除 最近查看linux系统日志,发现有很多陌生的公网ip在不断对服务器进行暴力破解,企图猜到系统账户和密码,除了设置一个强壮的密码之外,可以使用denyhosts来限制这些ip的不友好访问。 ...
1 2 3 4 5 ... 20
收藏数 618
精华内容 247
热门标签