利用DenyHosts限制SSH暴力破解账户 限制IP服务周期
本帖最后由 学习NO.1 于 2015-6-23 12:01 编辑随着更多的站长加入且使用VPS主机作为自己的网站项目存储方式,但对于VPS主机的安全问题尤为的需要大家关心。不管我们是用一键包、还是用面板搭建自己的网站,VPS主机的安全不仅仅如此,很多时候可能由于对网站的攻击、也可能是对端口的扫描破解,甚至有各种可能存在的不安全因素。在之前的文章中,道勤也有介绍过关于VPS主机需要注意的安全以及解决方案。
Linux VPS安全设置之三:使用DDOS deflate抵御少量DDOS攻击
Linux VPS安全设置之一:修改SSH端口(CentOS/Debian)
Xshell设置密钥登录确保Linux VPS及服务器更加安全
因为最近一段时间,道勤在陆续的补充以前漏掉的,不够完善的VPS基础教程内容,一来是作为自己的学习基础的扎实,二来是为了更好的完善以前的内容。所以,最近如果有时间会慢慢的补全。今天要分享的是利用DenyHosts工具在LINUX系统下来阻止暴力破解SSH的工具,一旦设定之后可以阻止因为试探登录和破解账户的IP次数,类似上面的DEFLATE工具的原理。
具体的工作原理:我们可以监控到某个IP的异常请求连接,达到多少次数之后对其进行限制,然后所有的过滤阻止的IP都存在一个文档中我们可以进行分析切进行其他手段的永久限制。DenyHosts工具的具体具体安全和使用方法:
第一、从官方下载最新源码包
wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
tar zxvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6目前DenyHosts官方网站最新的安装包是2.6版本,我们下载、解压、进入DenyHosts目录。第二、部署安全工具yum install python -y
python setup.py install第三、配置文件cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
cp daemon-control-dist daemon-control第四、编辑配置文件denyhosts.cfg这个文件在/usr/share/denyhosts/目录下,我们可以通过WINSCP工具下载到本地,然后慢慢分析设定配置文件,具体我们只需要通过CRTL+F搜索下面的几个命令行,然后如果需要设置的把前面#去掉修改后面的参数。PURGE_DENY:当IP被阻止之后,多久自动释放,文档中可以选择1w(1周)和5d(5天),我们可以自己设定
PURGE_THRESHOLD:设定某个IP被限制多少次之后永久封闭
BLOCK_SERVICE:我们需要阻止的服务名称
DENY_THRESHOLD_INVALID:一个无效的用户尝试多少次之后被阻止
DENY_THRESHOLD_VALID:一个有效的用户尝试多少次之后被阻止
DENY_THRESHOLD_ROOT:ROOT用户尝试多少次被阻止
HOSTNAME_LOOKUP:是否尝试的解析IP的域名地址一般我们只需要设置上面的7个选项就可以。第五、启动Denyhosts服务./daemon-control start我们最好是要设定自动启动,不能每次还需要手工启动。cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig -level 2345 denyhosts on这样我们就完成了设置以及自动启动,如果我们希望看看哪些地址在尝试登录我们账户,可以在/etc/hosts.deny文件中看到具体的记录数据。
页:
[1]