+-
DenyHosts介绍
DenyHosts是一个python脚本帮助阻止SSH攻击(基于字典或暴力的密码攻击),它的原理很简单:通过分析系统安全日志(/var/log/secure)中的无效登录者的IP和无效登录次数与用户设置的阈值进行比较,如果尝试次数超过用户设置的阈值则将该IP加入/etc/hosts.deny,实现将其封锁。
DenyHosts版本与分支
DenyHosts最早由Phil Schwartz开发,并在2.6版本之后停止发布更新,之后由Matt Ruffalo在Github继续开发。笔者编写本文时,已经预发行了3.1beta版,该版本支持python的任意版本,本次部署将使用此版本。如果你的python版本较低(2.7及以下),请使用DenyHosts 2.10。
本次部署环境及版本
- Centos 7.7
- DenyHosts 2.10
- python 2.7.5
下载并安装DenyHosts
yum install python-ipaddr #安装依赖 wget https://github.com/denyhosts/denyhosts/archive/refs/tags/v2.10.tar.gz tar zxf v2.10.tar.gz -C /usr/local/ cd /usr/local/denyhosts/ python setup.py install cp denyhosts.conf /etc/
denyhosts配置文件在/etc/denyhosts.conf,配置文件中必须要改的是SECURE_LOG的位置,默认启用的是“Debian and Ubuntu”的SECURE_LOG位置。
denyhosts.conf重新指定SECURE_LOG的位置
vi /etc/denyhosts.conf 将`SECURE_LOG = /var/log/auth.log`这一行前面加 #号注释掉 将`SECURE_LOG = /var/log/secure`这一行前面的 #号去掉
其余的配置可以参考下面的注解按需配置:
denyhosts.conf主要配置解读
SECURE_LOG = /var/log/secure #系统安全日志,保持默认即可 PURGE_DENY = 60d #解封黑名单中的IP的周期 HOSTS_DENY = /etc/hosts.deny #指定hosts.deny的位置 BLOCK_SERVICE = sshd #阻止的服务名称 PURGE_THRESHOLD = 5 #设定解封次数,超过之后永久禁止; DENY_THRESHOLD_INVALID = 1 #允许无效的用户登录失败次数 DENY_THRESHOLD_VALID = 5 #允许正常用户的登录失败次数 DENY_THRESHOLD_ROOT = 5 #允许root登录失败次数 WORK_DIR = /usr/local/denyhosts/data #指定工作目录,保存封锁的IP LOCK_FILE = /var/lock/subsys/denyhosts #文件锁,防止启动多个进程 HOSTNAME_LOOKUP=NO #是否解析主机名(占用网络资源) ADMIN_EMAIL = #设置报警邮箱,配合SMTP设置可实现邮件报警,默认是给root发信。 DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置
创建服务脚本,设置开机启动
这里要提前强调一点,DenyHosts启动后会读取/var/log/secure中的SSH登录日志,将符合封锁条件的IP加入/etc/hosts.deny文件中,并在/usr/local/denyhosts/data工作目录中保存,届时删除黑名单中的IP会略微麻烦(你办公网的IP很可能也有过登录失败记录)。笔者建议在启动DenyHosts前先清理一下系统安全日志:
> /var/log/secure rm -rf /var/log/secure-*
然后创建服务脚本,设置开机启动
cp daemon-control-dist daemon-control vi daemon-control 将 DENYHOSTS_BIN = "/usr/sbin/denyhosts" 改成: DENYHOSTS_BIN = "/usr/local/denyhosts/denyhosts.py" chown root daemon-control chmod 700 daemon-control ln -s /usr/local/denyhosts/daemon-control /etc/init.d/denyhosts systemctl daemon-reload #重载systemd配置 systemctl start denyhosts #启动denyhosts systemctl enable denyhosts #设置开机启动denyhosts
如果没有报错,此时denyhosts已经启动,使用systemctl status denyhosts可以查看运行状态,如果服务器是公网IP且ssh端口正常开放,可以tailf /etc/hosts.deny,很快就会看到猜测密码的IP被封锁进来。
参考