一、檢查安裝條件
1、首先判斷系統安裝的sshd是否支持tcp_wrappers(默認都支持)
# ldd /usr/sbin/sshd
libwrap.so.0 => /usr/lib/libwrap.so.0 (0x0046e000)
2、判斷默認安裝的Python版本
[root@localhost 03]# python -V
Python 2.4.3
Centos5.5默認已安裝了python 2.4.3
二、已安裝Python2.3以上版本的情況
1、安裝DenyHosts
# cd /usr/local/src
# wget http://jaist.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz
# tar zxf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
# python setup.py install
程序腳本自動安裝到/usr/share/denyhosts
庫文件自動安裝到/usr/lib/python2.3/site-packages/DenyHosts
denyhosts.py自動安裝到/usr/bin
2、設置啓動腳本
# cd /usr/share/denyhosts/
# cp daemon-control-dist daemon-control
# chown root daemon-control
# chmod 700 daemon-control
# grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
# vi denyhosts.cfg
根據自己需要進行相應的修改
----------------denyhosts.cfg------------------------
SECURE_LOG = /var/log/secure
#RedHat/Fedora Core分析該日誌文件
#其它版本linux根據denyhosts.cfg-dist內提示選擇。
PURGE_DENY = 30m
#過多久後清除
DENY_THRESHOLD_INVALID = 1
#允許無效用戶(/etc/passwd未列出)登錄失敗的次數
DENY_THRESHOLD_VALID = 5
#允許有效(普通)用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 3
#允許root登錄失敗的次數
HOSTNAME_LOOKUP=NO
#是否做域名反解
----------------denyhosts.cfg------------------------
如果需要DenyHosts隨系統重啓而自動啓動,還需做如下設置:
# vi /etc/rc.local
加入下面這條命令
/usr/share/denyhosts/daemon-control start
3、啓動
# /usr/share/denyhosts/daemon-control start
如果要使DenyHosts每次重起後自動啓動還需做如下設置:
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhosts
# chkconfig --add denyhosts
# chkconfig --level 345 denyhosts on
然後就可以啓動了:
service denyhosts start
DenyHosts配置文件:
vi /etc/denyhosts.cfg
SECURE_LOG = /var/log/secure #ssh 日誌文件,它是根據這個文件來判斷的。
HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件
PURGE_DENY = 5m#過多久後清除已經禁止的
BLOCK_SERVICE = sshd#禁止的服務名
DENY_THRESHOLD_INVALID = 1#允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 10#允許普通用戶登陸失敗的次數
DENY_THRESHOLD_ROOT = 5#允許root登陸失敗的次數
HOSTNAME_LOOKUP=NO#是否做域名反解
DAEMON_LOG = /var/log/denyhosts#自己的日誌文件
ADMIN_EMAIL = [email protected]#管理員郵件地址,它會給管理員發郵件
這個install_denyhosts.sh是全自動下載安裝的小腳本,當然安裝後還得手動調整配置文件。適合非生產服務器使用;如果是生產服務器,建議大家採用我後面的ssh_deny.sh腳本。
本install_denyhosts.sh腳本如下:
#!/bin/bash
cd /usr/local/src
wget http://jaist.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz
tar zxf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
cd /usr/share/denyhosts/
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control
grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
echo "/usr/share/denyhosts/daemon-control start" >>/etc/rc.local
cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig --level 345 denyhosts on
service denyhosts start
下面是hostsdeny的示例:
Connection to 192.168.0.154 closed.
[root@autolemp ~]# ssh 192.168.0.154
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied (publickey,gssapi-with-mic,password)出現這行表示生效
其實這段原理也很簡單, 我稍微解釋一下;它其實就是收集/var/log/secure的信息,如果root登陸失敗次數超過10次,它將其寫進/etc/hosts.deny文件裏;其實我們完全可以用shell來做這些事情,腳本控的同學可以關注以下腳本,我在線上服務器已測試成功。我主要是爲了安全着想,不想在線上服務器去進行大的改動,所以採用shell的方式,有這種需求的同學也可關注下。
vim /root/ssh_deny.sh
#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' >/root/black.txt
DEFINE="10"
for i in `cat /root/black.txt`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ];
then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];
then
echo "sshd:$IP" >> /etc/hosts.deny
fi
fi
done
vim /etc/crontab
* */1 * * * root sh /root/ssh_deny.sh
寫此腳本時我本來想用時間收集的問題,即隔斷時間就收集一次/var/log/secure的日誌信息,後來覺得這個方法比較複雜;我稍爲解釋一下上面的腳本。它其實就是放在crontab裏,每隔一個小時就去讀一下/var/log/secure的日誌信息,定義連接root的IP的閥值爲10,如果此IP在/etc/hosts.deny裏,就什麼也不做;如果不在($?值不爲0,即非狀態下),就將其添加進/etc/hosts.deny裏,此腳本放在線上環境也有一段時間了,效果也可以的。