最近一直關注Linux伺服器的的/var/log/secure文件,發現裡面有大量的ssh失敗嘗試記錄,如下 查看了該IP的嘗試次數和時間,一直從凌晨4點到下午1點 多達9288次的掃描,從圖中可以看出正在嘗試各種用戶名來連接,真他媽的沒事幹,也不知道用什麼破軟體在那裡無聊,幸好我的密碼也夠複雜,要不然嘿嘿.......... 我伺服器上的secure有多個,按時間進行截取的,我對其中的secure.1文件進行統計. 獲取其中的ip地址和數量: # grep -o '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' /var/log/secure.1 | sort | uniq -c 如此之多,讓我不禁冒出冷汗,真嚇人,也不知道我的伺服器上面有什麼好東西,那麼喜歡,真二!!!!當然如果是自己通過ssh成功連接,記錄也會在這裡面. 為了防止此類無聊之人再次光臨,就得想辦法不讓他們進行掃描,本人在網上查找資料,得知Denyhosts軟體可以達到該效果,DenyHosts是Python語言寫的一個程序,它會分析sshd的日誌文件(/var/log/secure),當發現重複的攻擊時就會記錄IP到/etc/hosts.deny文件,從而達到自動屏IP的功能.如果是手動添加的話不把人累死才怪. DenyHosts官方網站為:http://denyhosts.sourceforge.net
本文已附上附件,是從該網站下載的,版本為較新的2.6版. 一:檢查安裝要求
首選檢查Sshd是否支持 Tcpwrap,只有支持Tcpwrap才可以安裝Denyhost
# ldd /usr/sbin/sshd |grep wrap libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00864000) //出現此信息時表示支持 再檢查 Python的版本,Python2.3以上版本可以直接安裝
# python -V
Python 2.4.3 均達到要求 二:安裝Denyhosts
先下載該軟體,然後解壓安裝 進行解壓再進入到源目錄
# tar -xzvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
執行Python腳本進行安裝,
# python setup.py install
程序腳本自動安裝到/usr/share /denyhosts
庫文件自動安裝到/usr/lib/python2.4/site-packages /DenyHosts
denyhosts.py安裝到/usr/bin 三: 設置啟動腳本
# cd /usr/share/denyhosts/
拷貝模板文件
# cp daemon-control-dist daemon-control
設置好啟動腳本的所屬用戶和許可權
# chown root daemon-control
# chmod 700 daemon-control
生成Denyhost的主配置文件,(將模板文件中開頭是#的過濾后再導入到Denyhost.cfg)
# grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
編輯Denyhost.cfg文件,根據自己需要進行相應的修改
----------------denyhosts.cfg--------------------------------------
SECURE_LOG = /var/log/secure#ssh 日誌文件,它是根據這個文件來判斷的,如還有其他的只要更改名字即可,例如將secure改為secure.1等 HOSTS_DENY = /etc/hosts.deny
#控制用戶登陸的文件,將多次連接失敗的IP添加到此文件,達到屏蔽的作用
PURGE_DENY =
#過多久后清除已經禁止的,我這裡為空表示永遠不解禁 BLOCK_SERVICE = sshd
#禁止的服務名,如還要添加其他服務,只需添加逗號跟上相應的服務即可 DENY_THRESHOLD_INVALID = 1
#允許無效用戶失敗的次數
DENY_THRESHOLD_VALID =2
#允許有效用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 3
#允許root登錄失敗的次數
HOSTNAME_LOOKUP=NO
# 是否做域名反解,這裡表示不做 ADMIN_EMAIL = .... #管理員郵件地址,它會給管理員發郵件
DAEMON_LOG = /var/log/denyhosts
#自己的日誌文件 其他:
AGE_RESET_VALID=5d #(h表示小時,d表示天,m表示月,w表示周,y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
#用戶的登陸失敗計數會在多長時間后重置為0
RESET_ON_SUCCESS = yes
#如果一個ip登陸成功后,失敗的登陸計數是否重置為0
DAEMON_SLEEP = 30s #當以後台方式運行時,每讀一次日誌文件的時間間隔. DAEMON_PURGE = 1h #當以後台方式運行時,清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔. 將 Denyhost啟動腳本添加到自動啟動中
# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local
啟動Denyhost的進程
# /usr/share/denyhosts/daemon-control start
可以查看到Denyhost在運行中
# ps -ef |grep deny
在另外一台機器上使用ssh進行連接,當在連續幾次輸入錯誤的密碼后,會被自動阻止掉,在一定時內不可以再連接ssh連接記錄的日誌文件. 查看我的/etc/hosts.deny文件發現裡面已經有135條記錄. # cat /etc/hosts.deny | wc -l
135
