现在的互联网非常不安全,最近本人就经历了一场有惊无险的有关系统安全的事件:公司的一个测试服务器由于之前密码设置太简单,被人扫描后暴力破解了root密码并登陆到服务器上,还创建了一个uid为0的个人账号,留下了一个后门,还好及时发现了,否则后果不堪设想!后来我查日志发现了很多不同的IP一直在尝试暴力破解我这太服务器的sshd端口,所以我在网上找到了DenyHosts这款软件做了防暴力破解,这是鄙人第一次写博客,有不周到的地方还请各位看官多多包涵!

   以下安装配置和最后的解除IP限制都是我在网上找到的资料并做了一些整合。

DenyHosts官方网站为:http://denyhosts.sourceforge.net/

1、下载DenyHosts 并解压

# wget http://soft.vpser.net/security/denyhosts/DenyHosts-2.6.tar.gz

# tar zxvf DenyHosts-2.6.tar.gz

# cd DenyHosts-2.6

2、安装、配置和启动

# python setup.py install

默认是安装到/usr/share/denyhosts/目录的,进入相应的目录修改配置文件

# cd /usr/share/denyhosts/

# cp denyhosts.cfg-dist denyhosts.cfg

# cp daemon-control-dist daemon-control

默认的设置已经可以适合centos系统环境,你们可以使用vi命令查看一下denyhosts.cfg和daemon-control,里面有详细的解释

接着使用下面命令启动denyhosts程序

# chown root daemon-control

# chmod 700 daemon-control

# ./daemon-control start

如果要使DenyHosts每次重起后自动启动还需做如下设置:

# cd /etc/init.d

# ln -s /usr/share/denyhosts/daemon-control denyhosts

# chkconfig --add denyhosts

# chkconfig --level 345 denyhosts on

或者执行下面的命令,将会修改/etc/rc.local文件:

# echo "/usr/share/denyhosts/daemon-control start" >> /etc/rc.local

DenyHosts配置文件denyhosts.cfg说明:

SECURE_LOG = /var/log/secure

#sshd日志文件,它是根据这个文件来判断的,不同的操作系统,文件名稍有不同。

HOSTS_DENY = /etc/hosts.deny

#控制用户登陆的文件

PURGE_DENY = 5m

#过多久后清除已经禁止的

BLOCK_SERVICE  = sshd

#禁止的服务名

DENY_THRESHOLD_INVALID = 1

#允许无效用户失败的次数

DENY_THRESHOLD_VALID = 10

#允许普通用户登陆失败的次数

DENY_THRESHOLD_ROOT = 5

#允许root登陆失败的次数

HOSTNAME_LOOKUP=NO

#是否做域名反解

DAEMON_LOG = /var/log/denyhosts

更多的说明请查看自带的README文本文件,好了以后维护VPS就会省一些心了,但是各位VPSer们注意了安全都是相对的哦,没有绝对安全,请定期或不定期的检查你的VPS主机,而且要定时备份你的数据哦。

   关于取消访问限制:经本人测试,如果自己的IP或者是企业内部合法IP尝试登陆失败且被DenyHosts加入到/etc/hosts.deny文件里了,该如何取消访问限制呢?我开始以为只要清空了/var/log/secure日志,再删除/etc/hosts.deny里面的IP就可以了,如果你也是这样想那就错了,即使你清空了以上两个文件,过不了多久,DenyHosts又会将你的IP写入/etc/hosts.deny,这也是这款软件的强大地方,DenyHosts会读取多个记录确保没有漏网之鱼,清空/var/log/secure和/etc/hosts.deny并不能完美解锁自己的IP, 很快就会被DenyHosts重新锁定。那该如何解除锁定呢?

   下面是解锁的步骤:

   

首先停止DenyHosts, CentOS系统的可以用命令:

service denyhosts stop

然后清空下面的日志和文件

cat /dev/null > /var/log/secure

cat /dev/null > /etc/hosts.deny

cat /dev/null > /usr/share/denyhosts/data/hosts

cat /dev/null > /usr/share/denyhosts/data/hosts-restricted

cat /dev/null > /usr/share/denyhosts/data/hosts-root

cat /dev/null > /usr/share/denyhosts/data/hosts-valid

cat /dev/null > /usr/share/denyhosts/data/offset

cat /dev/null > /usr/share/denyhosts/data/suspicious-logins

cat /dev/null > /usr/share/denyhosts/data/users-hosts

cat /dev/null > /usr/share/denyhosts/data/users-invalid

cat /dev/null > /usr/share/denyhosts/data/users-valid

然后重新开启Deny Hosts:

service denyhosts start