码迷,mamicode.com
首页 > 其他好文 > 详细

SSH防暴力破解软件 Denyhosts

时间:2016-06-30 23:39:46      阅读:263      评论:0      收藏:0      [点我收藏+]

标签:denyhosts   安全   ssh   暴力破解   

原理:

DenyHosts 是Python语言写的一个开源程序,它会定期分析sshd服务的登陆日志,当发现某IP进行多次SSH登陆且登陆失败次数超过阈值时,会将IP记录到 /etc/hosts.deny文件,通过tcpwrapper达到自动屏蔽IP的功能。


TCP wrapper:

tcpwrapper 是一个为 Unix 类服务器提供防火墙服务的程序,任何以 Xinetd 管理的服务都可以通过TcpWrapper来设置防火墙,简单的说,就是针对源IP或域进行允许或拒绝访问的设置;


配置文件:

/etc/init.d/hosts.allow  定义在此文件中的IP允许访问

daemon_list:client_list[:option]

例:sshd: 192.168.1    # 允许 192.168.1.0/24 网段所有主机访问


/etc/init.d/hosts.deny  定义在此文件中的IP不允许访问

配置同上


检查顺序:

      请求

       ↓              

      服务  --->/etc/hosts.allow  --->  匹配成功则放行

                               ↓         

                          /etc/hosts.deny   ---->  匹配成功则拒绝     

                                     ↓                        

                              两个配置文件中没有则允许访问 

注:两个配置文件同时匹配,host.allow 优先生效。


判断服务是否支持TcpWrapper管控:

ldd `which 服务名` |grep wrap


技术分享

libwrap.so.0  TcpWrapper 的开发库,软件调用此库代表受 TcpWrapper 管控。







最新版本为 2.6 最近更新日期为 2008-10-04

官网:http://denyhosts.sourceforge.net/

FAQ:http://denyhosts.sourceforge.net/faq.html

下载地址:http://nbtelecom.dl.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz


安装:

wget http://nbtelecom.dl.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz

tar xvf DenyHosts-2.6.tar.gz

cd DenyHosts-2.6/

python setup.py install


默认会安装在 /usr/share/denyhosts/ 目录


ln -s daemon_control /etc/init.d/denyhosts  

# 服务脚本


cp denyhosts.cfg-dist denyhosts.cfg

# 配置文件



配置文件详解:(截取有用部分)

 

# Redhat or Fedora Core:

#SECURE_LOG = /var/log/secure   

# ReadHat 系列登陆日志位置


# Mandrake, FreeBSD or OpenBSD: 

SECURE_LOG = /var/log/auth.log  

# FreeBSD 系列登陆日志位置


# SuSE:

#SECURE_LOG = /var/log/messages  

# SuSE 系列登陆日志位置



HOSTS_DENY = /etc/hosts.deny   

# tcpwrapper 配置文件



PURGE_DENY = 5m    

# 清除已禁止主机的时间



BLOCK_SERVICE  = sshd 

# 匹配成功后禁止的服务名称 



DENY_THRESHOLD_INVALID = 5   

# 允许无效用户尝试登陆失败的次数(用户名不在 /etc/passwd 文件中)


DENY_THRESHOLD_VALID = 10  

# 允许普通用户登陆失败的次数(用户名存在 /etc/passwd 文件中)


DENY_THRESHOLD_ROOT = 1   # 允许 root 用户登陆失败的次数


WORK_DIR = /usr/share/denyhosts/data   

# denyhosts 的工作目录,会将 deny 的 hosts 或 IP 记录到 work_dir/ 目录下的文件中


HOSTNAME_LOOKUP=YES

# 是否进行域名反解


LOCK_FILE = /var/run/denyhosts.pid

# pid 文件位置,用来判断 denyhosts 是否在运行状态


ADMIN_EMAIL = shoujianren@163.com

# 管理员邮件地址(接收告警邮件)


SMTP_HOST = smtp.mxhichina.com

SMTP_PORT = 25

# SMTP 发件服务器地址及端口号


SMTP_USERNAME=fajianren@163.com

SMTP_PASSWORD=myispassword

# 发件人帐号及密码


SMTP_FROM = fajianren@163.com

# 发件人地址


SMTP_SUBJECT = DenyHosts Report

# 告警邮件主题


AGE_RESET_VALID=5d

# 普通用户登录失败计数器的归零时间


AGE_RESET_ROOT=25d

# ROOT用户登录失败计数器的归零时间


AGE_RESET_RESTRICTED=25d

# 全局用户失败登录计数重置为 0 的时间 (/usr/share/denyhosts/data/restricted-usernames)


AGE_RESET_INVALID=10d

# 无效用户失败计数会在多久后重置为 0


RESET_ON_SUCCESS = yes

# 如果一个IP成功登录后,失败的登录计数是否重置为0


DAEMON_LOG = /var/log/denyhosts

# Denyhosts 的日志文件位置


DAEMON_SLEEP = 30s

# 当以后台方式运行时,每读一次日志文件的时间间隔


DAEMON_PURGE = 1h

# 多长时间执行一次 预设清理

# 多久清除一次已被禁止的主机,此值应该小于 PURGE_DENY,PURGE_DENY < DAEMON_PURGE



遇到的问题:

1、清除时间到达后无法无法清除被禁止的主机

解决办法:实际清楚时间由 DAEMON_PURGE 决定,将此值设定与PURGE_DENY相等即可。







本文出自 “那些颠沛留离的日子。” 博客,请务必保留此出处http://linuxzj.blog.51cto.com/6160158/1794680

SSH防暴力破解软件 Denyhosts

标签:denyhosts   安全   ssh   暴力破解   

原文地址:http://linuxzj.blog.51cto.com/6160158/1794680

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!