今天在盛大云看到一個(gè)不錯(cuò)的防止ssh暴力破解的帖子，轉(zhuǎn)過(guò)來(lái)和大家分享下，主要是依靠denyhost軟件。穩(wěn)重所講的是下載安裝包安裝，實(shí)際上可以從直接使用yum或者apt安裝，找到相應(yīng)的源就可以。下邊是帖子原文：
DenyHosts官方網(wǎng)站為：http://denyhosts.sourceforge.net
1. 安裝
# tar -zxvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
# python setup.py install
默認(rèn)是安裝到/usr/share/denyhosts目錄的。
2. 配置
# cd /usr/share/denyhosts/
# cp denyhosts.cfg-dist denyhosts.cfg
# vi denyhosts.cfg
PURGE_DENY = 50m #過(guò)多久后清除已阻止IP
　　HOSTS_DENY = /etc/hosts.deny #將阻止IP寫入到hosts.deny
　　BLOCK_SERVICE = sshd #阻止服務(wù)名
　　DENY_THRESHOLD_INVALID = 1 #允許無(wú)效用戶登錄失敗的次數(shù)
　　DENY_THRESHOLD_VALID = 10 #允許普通用戶登錄失敗的次數(shù)
　　DENY_THRESHOLD_ROOT = 5 #允許root登錄失敗的次數(shù)
　　WORK_DIR = /usr/local/share/denyhosts/data #將deny的host或ip紀(jì)錄到Work_dir中
　　DENY_THRESHOLD_RESTRICTED = 1 #設(shè)定 deny host 寫入到該資料夾
　　LOCK_FILE = /var/lock/subsys/denyhosts #將DenyHOts啟動(dòng)的pid紀(jì)錄到LOCK_FILE中，已確保服務(wù)正確啟動(dòng)，防止同時(shí)啟動(dòng)多個(gè)服務(wù)。
　　HOSTNAME_LOOKUP=NO #是否做域名反解
　　ADMIN_EMAIL = #設(shè)置管理員郵件地址
　　DAEMON_LOG = /var/log/denyhosts #自己的日志文件
　　DAEMON_PURGE = 10m #該項(xiàng)與PURGE_DENY 設(shè)置成一樣，也是清除hosts.deniedssh 用戶的時(shí)間。
3. 設(shè)置啟動(dòng)腳本
# cp daemon-control-dist daemon-control
# chown root daemon-control
# chmod 700 daemon-control
完了之后執(zhí)行daemon-contron start就可以了。
# ./daemon-control start
如果要使DenyHosts每次重起后自動(dòng)啟動(dòng)還需做如下設(shè)置：
# ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
# chkconfig --add denyhosts
# chkconfig denyhosts on
然后就可以啟動(dòng)了：
# service denyhosts start
可以看看/etc/hosts.deny內(nèi)是否有禁止的IP，有的話說(shuō)明已經(jīng)成功了。

最新評(píng)論