+-
Linux/Centos7通过DenyHosts阻止SSH口令攻击


DenyHosts介绍

DenyHosts是一个python脚本帮助阻止SSH攻击(基于字典或暴力的密码攻击),它的原理很简单:通过分析系统安全日志(/var/log/secure)中的无效登录者的IP和无效登录次数与用户设置的阈值进行比较,如果尝试次数超过用户设置的阈值则将该IP加入/etc/hosts.deny,实现将其封锁。

DenyHosts版本与分支

DenyHosts最早由Phil Schwartz开发,并在2.6版本之后停止发布更新,之后由Matt Ruffalo在Github继续开发。笔者编写本文时,已经预发行了3.1beta版,该版本支持python的任意版本,本次部署将使用此版本。如果你的python版本较低(2.7及以下),请使用DenyHosts 2.10。

本次部署环境及版本

  • Centos 7.7
  • DenyHosts 2.10
  • python 2.7.5

下载并安装DenyHosts

yum install python-ipaddr #安装依赖
wget https://github.com/denyhosts/denyhosts/archive/refs/tags/v2.10.tar.gz
tar zxf v2.10.tar.gz -C /usr/local/
cd /usr/local/denyhosts/
python setup.py install
cp denyhosts.conf /etc/


denyhosts配置文件在/etc/denyhosts.conf,配置文件中必须要改的是SECURE_LOG的位置,默认启用的是“Debian and Ubuntu”的SECURE_LOG位置。

denyhosts.conf重新指定SECURE_LOG的位置


vi /etc/denyhosts.conf
将`SECURE_LOG = /var/log/auth.log`这一行前面加 #号注释掉
将`SECURE_LOG = /var/log/secure`这一行前面的 #号去掉


其余的配置可以参考下面的注解按需配置:

denyhosts.conf主要配置解读


SECURE_LOG = /var/log/secure   #系统安全日志,保持默认即可
PURGE_DENY = 60d               #解封黑名单中的IP的周期
HOSTS_DENY = /etc/hosts.deny   #指定hosts.deny的位置
BLOCK_SERVICE = sshd           #阻止的服务名称
PURGE_THRESHOLD = 5            #设定解封次数,超过之后永久禁止;
DENY_THRESHOLD_INVALID = 1     #允许无效的用户登录失败次数
DENY_THRESHOLD_VALID = 5       #允许正常用户的登录失败次数
DENY_THRESHOLD_ROOT = 5        #允许root登录失败次数
WORK_DIR = /usr/local/denyhosts/data #指定工作目录,保存封锁的IP
LOCK_FILE = /var/lock/subsys/denyhosts #文件锁,防止启动多个进程 
HOSTNAME_LOOKUP=NO             #是否解析主机名(占用网络资源)
ADMIN_EMAIL =   #设置报警邮箱,配合SMTP设置可实现邮件报警,默认是给root发信。
DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置


创建服务脚本,设置开机启动

这里要提前强调一点,DenyHosts启动后会读取/var/log/secure中的SSH登录日志,将符合封锁条件的IP加入/etc/hosts.deny文件中,并在/usr/local/denyhosts/data工作目录中保存,届时删除黑名单中的IP会略微麻烦(你办公网的IP很可能也有过登录失败记录)。笔者建议在启动DenyHosts前先清理一下系统安全日志:

> /var/log/secure
rm -rf /var/log/secure-*

然后创建服务脚本,设置开机启动


cp daemon-control-dist daemon-control
vi daemon-control
将
DENYHOSTS_BIN   = "/usr/sbin/denyhosts"
改成:
DENYHOSTS_BIN   = "/usr/local/denyhosts/denyhosts.py"

chown root daemon-control
chmod 700 daemon-control
ln -s /usr/local/denyhosts/daemon-control /etc/init.d/denyhosts
systemctl daemon-reload    #重载systemd配置
systemctl start denyhosts  #启动denyhosts
systemctl enable denyhosts #设置开机启动denyhosts


如果没有报错,此时denyhosts已经启动,使用systemctl status denyhosts可以查看运行状态,如果服务器是公网IP且ssh端口正常开放,可以tailf /etc/hosts.deny,很快就会看到猜测密码的IP被封锁进来。

systemctl status denyhosts

参考