DenyHosts 初析

  DenyHosts是Python语言写的一个程序它会分析sshd的日志文件/var/log/secure当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件从而达到自动屏IP的功能。

1、安装脚本

要求安装服务器能上网并建立 /work目录

#!/bin/bash

wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz    #下载软件

tar -zxvf DenyHosts-2.6.tar.gz                                  #解压

mv DenyHosts-2.6 denyhost                                       #为了方便改个名

cd denyhost/                                                    #进入目录

yum install python -y                                           #安装python

python setup.py install                                         #安装denyhost,脚本

cd /usr/share/denyhosts/                                        #进入配置目录

cp daemon-control-dist daemon-control                           #为了方便改变配置文件名称

cp denyhosts.cfg-dist denyhosts.cfg                             #修改服务文件名称

chown root daemon-control                                       #修改服务文件名称

chmod 700 daemon-control                                        #提高安全级别修改权限

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts #创建启动服务连接软连接

chkconfig denyhosts on                                          #添加启动项

cp denyhosts.cfg denyhosts.cfg.bak                          #备份配置文件为修改配置做准备

cat /workspace/denyhost.txt > /usr/share/denyhosts/denyhosts.cfg

#将配置文件内容导入配置文件我的配置文件安装之前已经配置好了

/etc/init.d/denyhosts start                                     #启动服务

echo install succeed!

2.配置文件内容

cat /workspace/denyhost.txt > /usr/share/denyhosts/denyhosts.cfg

###########################2##################################

[[email protected] workspace]# more denyhost.txt

SECURE_LOG = /var/log/secure

#ssh日志文件

HOSTS_DENY = /etc/hosts.deny

#将阻止IP写入到hosts.deny

PURGE_DENY = 5m

#过多久后清除已经禁止的其中w代表周d代表天h代表小时s代表秒m代表分钟

BLOCK_SERVICE = sshd

#阻止服务名

DENY_THRESHOLD_INVALID = 5

#允许无效用户在/etc/passwd未列出登录失败次数,允许无效用户登录失败的次数.

DENY_THRESHOLD_VALID = 5

#允许普通用户登录失败的次数

DENY_THRESHOLD_ROOT = 5

#允许root登录失败的次数

DENY_THRESHOLD_RESTRICTED = 1

#设定 deny host 写入到该资料夹

WORK_DIR = /usr/share/denyhosts/data

#将deny的host或ip纪录到Work_dir中

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS = YES

HOSTNAME_LOOKUP=YES

#是否做域名反解

LOCK_FILE = /var/lock/subsys/denyhosts

#将DenyHOts启动的pid纪录到LOCK_FILE中已确保服务正确启动防止同时启动多个服务。

ADMIN_EMAIL = [email protected]

#设置管理员邮件地址

SMTP_HOST = localhost

SMTP_PORT = 25

SMTP_FROM = DenyHosts

SMTP_SUBJECT = DenyHosts Report

AGE_RESET_VALID=1d

#有效用户登录失败计数归零的时间

AGE_RESET_ROOT=1d

#root用户登录失败计数归零的时间

AGE_RESET_RESTRICTED=5d

#用户的失败登录计数重置为0的时间(/usr/share/denyhosts/data/restricted-usernames)

AGE_RESET_INVALID=10d

#无效用户登录失败计数归零的时间

DAEMON_LOG = /var/log/denyhosts

#自己的日志文件

DAEMON_SLEEP = 30s

DAEMON_PURGE = 5m

#该项与PURGE_DENY 设置成一样也是清除hosts.deniedssh 用户的时间

3.其它

    如果想删除一个已经禁止的主机IP并加入到允许主机例表只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录进入以下操作

1、停止DenyHosts服务$ sudo service denyhosts stop

2、在 /etc/hosts.deny 中删除你想取消的主机IP

3、编辑 DenyHosts 工作目录的所有文件通过

$ sudo grep 192.168.1.191 /usr/share/denyhosts/data/*

然后一个个删除文件中你想取消的主机IP所在的行

* /usr/share/denyhosts/data/hosts

* /usr/share/denyhosts/data/hosts-restricted

* /usr/share/denyhosts/data/hosts-root

* /usr/share/denyhosts/data/hosts-valid

* /usr/share/denyhosts/data/users-hosts

4、添加你想允许的主机IP地址到

/var/lib/denyhosts/allowed-hosts

vi /usr/share/denyhosts/data/allowed-hostsps

# We mustn’t block localhost

127.0.0.1

192.168.1.*

5、启动DenyHosts服务 service denyhosts start

   报错排查

#service denyhost start

starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py –daemon

–config=/usr/share/denyhosts/denyhosts.cfg

python: can’t open file ‘/usr/bin/denyhosts.py’: [Errno 2] No such file or

directory

cd /usr/share/denyhosts/

vi daemon-control

DENYHOSTS_BIN = “/usr/bin/denyhosts.py”

改为

DENYHOSTS_BIN = “/usr/local/bin/denyhosts.py”

cd /usr/local/lib/python2.7/site-packages/

cp -rp DenyHosts /usr/lib/python2.4/site-packages/

/etc/init.d/denyhosts restart