DenyHosts限制SSH登录尝试次数

DenyHosts官方网站为:http://denyhosts.sourceforge.net 
1. 安装 
# tar -zxvf DenyHosts-2.6.tar.gz 
# cd DenyHosts-2.6 
# python setup.py install 
默认是安装到/usr/share/denyhosts目录的。 
2. 配置 
# cd /usr/share/denyhosts/ 
# cp denyhosts.cfg-dist denyhosts.cfg 
# vi denyhosts.cfg 
PURGE_DENY = 50m #过多久后清除已阻止IP 
  HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny 
  BLOCK_SERVICE = sshd #阻止服务名 
  DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数 
  DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数 
  DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数 
  WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中 
  DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹 
  LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。 
  HOSTNAME_LOOKUP=NO #是否做域名反解 
  ADMIN_EMAIL = #设置管理员邮件地址 
  DAEMON_LOG = /var/log/denyhosts #自己的日志文件 
  DAEMON_PURGE = 10m #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间。 
3. 设置启动脚本 
# cp daemon-control-dist daemon-control 
# chown root daemon-control 
# chmod 700 daemon-control 
完了之后执行daemon-contron start就可以了。 
# ./daemon-control start 
如果要使DenyHosts每次重起后自动启动还需做如下设置: 
# ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts 
# chkconfig --add denyhosts 
# chkconfig denyhosts on 
然后就可以启动了: 
# service denyhosts start 
可以看看/etc/hosts.deny内是否有禁止的IP,有的话说明已经成功了。

原帖:http://www.jb51.net/hack/60840.html

DenyHosts限制SSH登录尝试次数

时间: 2024-08-01 07:51:07

DenyHosts限制SSH登录尝试次数的相关文章

shell脚本精华----在10秒内SSH登录失败次数超过3次就使用iptables/tcpwrappers拒绝

#!/bin/bash while true do badip=$(lastb -i -a | awk '/ssh:notty/ {print $NF}'|sort|uniq -c|awk '($1>3) {print $2}') for i in $badip do iptables -t filter -I INPUT -s $i -p tcp --dport 22 -j DROP done : > /var/log/btmp sleep 10s done shell脚本精华----在10

Shiro security限制登录尝试次数

之前讲了Shiro Security如何结合验证码,这次讲讲如何限制用户登录尝试次数,防止多次尝试,暴力破解密码情况出现.要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,Shiro中用户名密码的验证交给了CredentialsMatcher 所以在CredentialsMatcher里面检查,记录登录次数是最简单的做法.Shiro天生和Ehcache是一对好搭档,无论是单机还是集群,都可以在Ehcache中存储登录尝试次数信息. 现在介绍一个简单的登录次数验证做法,实现一个RetryL

Spring Security笔记:登录尝试次数限制

今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次数. 首先对之前创建的数据库表做点小调整 一.表结构调整 T_USERS增加了如下3个字段: D_ACCOUNTNONEXPIRED,NUMBER(1) -- 表示帐号是否未过期D_ACCOUNTNONLOCKED,NUMBER(1), -- 表示帐号是否未锁定D_CREDENTIALSNONEXP

使用Pam_Tally2锁定和解锁SSH失败的登录尝试

am_tally2模块用于某些数对系统进行失败的ssh登录尝试后锁定用户帐户. 此模块保留已尝试访问的计数和过多的失败尝试. pam_tally2模块有两个部分,一个是pam_tally2.so,另一个是pam_tally2. 它是基于PAM模块上,并且可以被用于检查和调节计数器文件. 它可以显示用户登录尝试次数,单独设置计数,解锁所有用户计数. Pam_tally2锁定SSH登录 默认情况下,pam_tally2模块已经安装在大多数Linux发行版,它是由PAM包本身的控制. 本文演示如何锁定

Linux 服务器和Windows服务器 用户登录失败次数限制【互联网金融系统漏洞排查】

1.Linux服务器用户登录失败次数限制(使用pam模块实现) /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 1.1.用户通过ssh登录失败次数的限制 第一步)需要使用pam模块来实现此功能,检查是否有pam_tally2.so文件 # find /lib* -name pam_tally2.so /lib64/security/pam_tally2.so 第二步)修改配置文件: # vi /etc/pam.d/sshd #%PAM-1.

[转]CentO下限制SSH登录次数

应公司内部网站等级测评的需求,正逐渐加强系统安全防护. 设备默认 3 次验证失败自动退出,并且结束会话:网络登录连接超时自动退出时间 5 分钟: 第一种方法:已验证. 1.ssh超时时间设置 # cd /etc/profile.d/ #创建两个空白文件autologout.csh .autologout.sh用来保存TMOUT配置 # touch autologout.csh # touch autologout.sh # vi autologout.sh       #编辑autologout

Denyhosts 防止SSH暴力破解服务器密码-1

Denyhosts是python语言程序,借用tcp_wrapper程序来进行主机防护.防止暴力破解服务器用户密码. DenyHosts可以阻止试图猜测SSH登录口令,它会分析sshd的日志文件(/var/log/secure),当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的. 1.安装 # cd /usr/local DenyHosts-2.6.tar.gz # tar -zxvf DenyHosts-2.6.tar.gz

Linux 利用Google Authenticator实现ssh登录双因素认证

1.介绍 双因素认证:双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统.双因素认证是一种采用时间同步技术的系统,采用了基于时间.事件和密钥三变量而产生的一次性密码来代替传统的静态密码.每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间.事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证.因每次认证时的随机参数不同,所以每次产生的动态密码也不同

安全:加固你的ssh 登录

SSH 是我们控制虚拟主机的一种途径,这个途径可以让我们拥有完全的控制权,如果对于这个控制权没有进行很好的安全处理,那么将会造成很大的安全问题.      我们可以在系统的日志文件 (例如:/var/log/secure) 中查看相关的登录信息,在这些日志信息中如果发现了陌生的IP来源或者出现大量重复的IP登录信息,那么作为管理员的你,就应该提高警惕了,可能有人正在利用工具进行SSH暴力破解登录(例如:kail系统中的Hydra工具). 提高SSH的安全性,我们主要采用修改SSH的配置文件信息,