ssh登录失败记录与预防(CentOS):DenyHosts初析

    xiaoxiao2022-06-30  76

    1 ssh记录

    环境:服务器,系统CentOS 7.2

    1.1 查看正常登陆

    使用命令

    last

    1.2 查看ssh登录失败记录

    grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

    2 使用denyhosts预防暴力破解

      DenyHosts是Python语言写的一个程序它会分析sshd的日志文件/var/log/secure当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件从而达到自动屏IP的功能。

    2.1 安装脚本

       要求安装服务器能上网并建立 /work目录

    #!/bin/bash wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz #下载软件 tar -zxvf DenyHosts-2.6.tar.gz #解压 mv DenyHosts-2.6 denyhost #为了方便改个名 cd denyhost/ #进入目录 yum install python -y #安装python python setup.py install #安装denyhost,脚本 cd /usr/share/denyhosts/ #进入配置目录 cp daemon-control-dist daemon-control #为了方便改变配置文件名称 cp denyhosts.cfg-dist denyhosts.cfg #修改服务文件名称 chown root daemon-control #修改服务文件名称 chmod 700 daemon-control #提高安全级别修改权限 ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts #创建启动服务连接软连接 chkconfig denyhosts on #添加启动项 cp denyhosts.cfg denyhosts.cfg.bak #备份配置文件为修改配置做准备 #cat /workspace/denyhost.txt > /usr/share/denyhosts/denyhosts.cfg #将配置文件内容导入配置文件我的配置文件安装之前已经配置好了 /etc/init.d/denyhosts start #启动服务

     

    echo install succeed!

    2.2 配置文件内容

    #cat /workspace/denyhost.txt > /usr/share/denyhosts/denyhosts.cfg

    ###########################2##################################

    [root@107 workspace]# more denyhost.txt SECURE_LOG = /var/log/secure #ssh日志文件 HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny PURGE_DENY = 5m #过多久后清除已经禁止的其中w代表周d代表天h代表小时s代表秒m代表分钟 BLOCK_SERVICE = sshd #阻止服务名 DENY_THRESHOLD_INVALID = 5 #允许无效用户在/etc/passwd未列出登录失败次数,允许无效用户登录失败的次数. DENY_THRESHOLD_VALID = 5 #允许普通用户登录失败的次数 DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数 DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹 WORK_DIR = /usr/share/denyhosts/data #将deny的host或ip纪录到Work_dir中 SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS = YES HOSTNAME_LOOKUP=YES #是否做域名反解 LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中已确保服务正确启动防止同时启动多个服务。 ADMIN_EMAIL = denyhosts@163.com #设置管理员邮件地址 SMTP_HOST = localhost SMTP_PORT = 25 SMTP_FROM = DenyHosts SMTP_SUBJECT = DenyHosts Report AGE_RESET_VALID=1d #有效用户登录失败计数归零的时间 AGE_RESET_ROOT=1d #root用户登录失败计数归零的时间 AGE_RESET_RESTRICTED=5d #用户的失败登录计数重置为0的时间(/usr/share/denyhosts/data/restricted-usernames) AGE_RESET_INVALID=10d #无效用户登录失败计数归零的时间 DAEMON_LOG = /var/log/denyhosts #自己的日志文件 DAEMON_SLEEP = 30s DAEMON_PURGE = 5m #该项与PURGE_DENY 设置成一样也是清除hosts.deniedssh 用户的时间

    2.3 其它

        如果想删除一个已经禁止的主机IP并加入到允许主机例表只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录进入以下操作

    1、停止DenyHosts服务$ sudo service denyhosts stop

    2、在 /etc/hosts.deny 中删除你想取消的主机IP

    3、编辑 DenyHosts 工作目录的所有文件通过

    $ sudo grep 192.168.1.191 /usr/share/denyhosts/data/*

    然后一个个删除文件中你想取消的主机IP所在的行

    * /usr/share/denyhosts/data/hosts

    * /usr/share/denyhosts/data/hosts-restricted

    * /usr/share/denyhosts/data/hosts-root

    * /usr/share/denyhosts/data/hosts-valid

    * /usr/share/denyhosts/data/users-hosts

    4、添加你想允许的主机IP地址到

    /var/lib/denyhosts/allowed-hosts

    vi /usr/share/denyhosts/data/allowed-hostsps

    # We mustn’t block localhost

    127.0.0.1

    192.168.1.*

    5、启动DenyHosts服务 service denyhosts start

    查看denyhosts服务状态:

    /etc/init.d/denyhosts status

    或者

    service denyhosts status

     

     

    参考资料:

    1. DenyHosts 初析

    2. SSh登陆失败的日志查看与攻击预防


    最新回复(0)