linux服務器不得不注意的安全問題--ssh暴力破解--denyhosts解決

最近一直關注Linux服務器的的/var/log/secure文件，發現裏面有大量的ssh失敗嘗試記錄，以下

查看了該IP的嘗試次數和時間，一直從凌晨4點到下午1點

多達 9288次的掃描，從圖中能夠看出正在嘗試各類用戶名來鏈接，真他媽的沒事幹，也不知道用什麼破軟件在那裏無聊，幸虧個人密碼也夠複雜，要否則嘿嘿..........

我服務器上的secure有多個，按時間進行截取的，我對其中的secure.1文件進行統計。

獲取其中的ip地址和數量：

# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq -c

如此之多，讓我不由冒出冷汗，真嚇人，也不知道個人服務器上面有什麼好東西，那麼喜歡，真二！！！！固然若是是本身經過ssh成功鏈接，記錄也會在這裏面。

爲了防止此類無聊之人再次光臨，就得想辦法不讓他們進行掃描，本人在網上查找資料，得知Denyhosts軟件能夠達到該效果，DenyHosts是Python語言寫的一個程序，它會分析sshd的日誌文件（/var/log/secure），當發現重複的***時就會記錄IP到/etc/hosts.deny文件，從而達到自動屏IP的功能。若是是手動添加的話不把人累死纔怪。

DenyHosts官方網站爲：http://denyhosts.sourceforge.net
 本文已附上附件，是從該網站下載的，版本爲較新的2.6版。

一:檢查安裝要求
首選檢查Sshd是否支持 Tcpwrap，只有支持Tcpwrap才能夠安裝Denyhost
# ldd /usr/sbin/sshd |grep wrap

libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00864000) //出現此信息時表示支持

再檢查 Python的版本，Python2.3以上版本能夠直接安裝
# python -V
Python 2.4.3

均達到要求

二:安裝Denyhosts
先下載該軟件，而後解壓安裝

進行解壓再進入到源目錄
# tar -xzvf  DenyHosts-2.6.tar.gz
# cd  DenyHosts-2.6
執行Python腳本進行安裝，
 # python  setup.py  install
程序腳本自動安裝到/usr/share/denyhosts      
庫文件自動安裝到/usr/lib/python2.4/site-packages/DenyHosts      
denyhosts.py安裝到/usr/bin

三: 設置啓動腳本
# cd  /usr/share/denyhosts/
拷貝模板文件
# cp daemon-control-dist daemon-control
設置好啓動腳本的所屬用戶和權限
# chown  root  daemon-control
# chmod  700  daemon-control
生成Denyhost的主配置文件，（將模板文件中開頭是#的過濾後再導入到Denyhost.cfg）
# grep  -v  "^#"  denyhosts.cfg-dist  > denyhosts.cfg
編輯Denyhost.cfg文件，根據本身須要進行相應的修改     
----------------denyhosts.cfg--------------------------------------    
SECURE_LOG = /var/log/secure    #ssh 日誌文件，它是根據這個文件來判斷的，如還有其餘的只要更更名字便可，例如將secure改成secure.1等

HOSTS_DENY = /etc/hosts.deny
#控制用戶登錄的文件，將屢次鏈接失敗的IP添加到此文件，達到屏蔽的做用     
PURGE_DENY =     
#過多久後清除已經禁止的，我這裏爲空表示永遠不解禁

BLOCK_SERVICE  = sshd
#禁止的服務名，如還要添加其餘服務，只需添加逗號跟上相應的服務便可

DENY_THRESHOLD_INVALID = 1     
#容許無效用戶失敗的次數       
DENY_THRESHOLD_VALID = 2   
#容許有效用戶登陸失敗的次數          
DENY_THRESHOLD_ROOT = 3     
#容許root登陸失敗的次數          
HOSTNAME_LOOKUP=NO     
# 是否作域名反解，這裏表示不作 

ADMIN_EMAIL = 。。。。

#管理員郵件地址,它會給管理員發郵件
DAEMON_LOG = /var/log/denyhosts
#本身的日誌文件

其餘：
AGE_RESET_VALID=5d     #（h表示小時，d表示天，m表示月，w表示周，y表示年）
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
#用戶的登錄失敗計數會在多長時間後重置爲0
RESET_ON_SUCCESS = yes
#若是一個ip登錄成功後，失敗的登錄計數是否重置爲0
DAEMON_SLEEP = 30s

#當之後臺方式運行時，每讀一第二天志文件的時間間隔。

DAEMON_PURGE = 1h 

#當之後臺方式運行時，清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔。

將 Denyhost啓動腳本添加到自動啓動中
# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local
啓動Denyhost的進程
# /usr/share/denyhosts/daemon-control start
能夠查看到Denyhost在運行中
# ps -ef |grep deny
在另一臺機器上使用ssh進行鏈接，當在連續幾回輸入錯誤的密碼後，會被自動阻止掉，在必定時內不能夠再鏈接ssh鏈接記錄的日誌文件。

查看個人/etc/hosts.deny文件發現裏面已經有135條記錄。

# cat /etc/hosts.deny | wc -l
135