最有效阻止SSH暴力破解的方法

【前言】       服務器天天都會有無數的SSH失敗嘗試記錄，有些無聊的人一直不停的掃描，這些人真夠無聊的，沒事吃飽了撐着，老找些軟件在那裏窮舉掃描,因此你們第一要記的設置一個好的夠複雜的密碼。
     怎麼樣防,若是要一條一條將這些IP阻止顯然治標不治本，還好有DenyHosts軟件來代替咱們手搞定他
          DenyHosts是Python語言寫的一個程序，它會分析sshd的日誌文件，當發現重複的***時就會記錄IP到/etc/hosts.deny文件，從而達到自動屏IP的功能。

DenyHosts官方網站爲：http://denyhosts.sourceforge.net

如下是安裝記錄（以CentOS 5.3, DenyHosts 2.6 爲例）

【第一步】下載、解壓:

# cd /usr/local/src

最新下載地址以下：

# wget http://www.sfr-fresh.com/unix/privat/DenyHosts-2.6.tar.gz

# tar -zxvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6

 

 

【第二步】安裝工具:

# python setup.py install

默認是安裝到/usr/share/denyhosts目錄

【第三步】配置啓動:

設置啓動腳本

# cp daemon-control-dist daemon-control
# chown root daemon-control
# chmod 700 daemon-control
    完了以後執行daemon-contron start就能夠了。
# ./daemon-control start
    若是要使DenyHosts每次重起後自動啓動還需作以下設置：
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhost
# chkconfig --add denyhost
# chkconfig --level  345 denyhost on
    或者修改/etc/rc.local文件：
# vi /etc/rc.local
    加入下面這條命令
/usr/share/denyhosts/daemon-control start

配置文件：

 

 

 

【第四步】編輯文件：

DenyHosts

 

ln -s /usr/share/denyhosts/denyhosts.cfg  /etc/

 vi /etc/denyhosts.cfg

SECURE_LOG = /var/log/secure
#ssh 日誌文件，它是根據這個文件來判斷的。

HOSTS_DENY = /etc/hosts.deny
#控制用戶登錄的文件

PURGE_DENY = 5m
#過多久後清除已經禁止的

BLOCK_SERVICE  = sshd
#禁止的服務名

DENY_THRESHOLD_INVALID = 1
#容許無效用戶失敗的次數

DENY_THRESHOLD_VALID = 10
#容許普通用戶登錄失敗的次數

DENY_THRESHOLD_ROOT = 5
#容許root登錄失敗的次數

HOSTNAME_LOOKUP=NO
#是否作域名反解

ADMIN_EMAIL = 123456@163.com
#管理員郵件地址,它會給管理員發郵件

DAEMON_LOG = /var/log/denyhosts
#本身的日誌文件

而後就能夠啓動了：

service denyhost  restart

【最後】測試:

看看/etc/hosts.deny內是否有禁止的ＩＰ，有的話說明配置成功。