版權聲明:原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://tech110.blog.51cto.com/438717/287490
最近一直關注Linux服務器的的/var/log/secure文件,發現裏面有大量的ssh失敗嘗試記錄,如下
查看了該IP的嘗試次數和時間,一直從凌晨4點到下午1點
多達9288次的掃描,從圖中可以看出正在嘗試各種用戶名來連接,真他媽的沒事幹,也不知道用什麼破軟件在那裏無聊,幸好我的密碼也夠複雜,要不然嘿嘿..........
我服務器上的secure有多個,按時間進行截取的,我對其中的secure.1文件進行統計。
獲取其中的ip地址和數量:
# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq -c
如此之多,讓我不禁冒出冷汗,真嚇人,也不知道我的服務器上面有什麼好東西,那麼喜歡,真二!!!!當然如果是自己通過ssh成功連接,記錄也會在這裏面。 爲了防止此類無聊之人再次光臨,就得想辦法不讓他們進行掃描,本人在網上查找資料,得知Denyhosts軟件可以達到該效果,DenyHosts是Python語言寫的一個程序,它會分析sshd的日誌文件(/var/log/secure),當發現重複的***時就會記錄IP到/etc/hosts.deny文件,從而達到自動屏IP的功能。如果是手動添加的話不把人累死纔怪。
DenyHosts官方網站爲:http://denyhosts.sourceforge.net
本文已附上附件,是從該網站下載的,版本爲較新的2.6版。
本文已附上附件,是從該網站下載的,版本爲較新的2.6版。
一:檢查安裝要求
首選檢查Sshd是否支持 Tcpwrap,只有支持Tcpwrap纔可以安裝Denyhost
# ldd /usr/sbin/sshd |grep wrap
首選檢查Sshd是否支持 Tcpwrap,只有支持Tcpwrap纔可以安裝Denyhost
# ldd /usr/sbin/sshd |grep wrap
libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00864000) //出現此信息時表示支持
再檢查 Python的版本,Python2.3以上版本可以直接安裝
# python -V
Python 2.4.3
# python -V
Python 2.4.3
均達到要求
二:安裝Denyhosts
先下載該軟件,然後解壓安裝
先下載該軟件,然後解壓安裝
進行解壓再進入到源目錄
# tar -xzvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
執行Python腳本進行安裝,
# python setup.py install
程序腳本自動安裝到/usr/share /denyhosts
庫文件自動安裝到/usr/lib/python2.4/site-packages /DenyHosts
denyhosts.py安裝到/usr/bin
# tar -xzvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
執行Python腳本進行安裝,
# python setup.py install
程序腳本自動安裝到/usr/share /denyhosts
庫文件自動安裝到/usr/lib/python2.4/site-packages /DenyHosts
denyhosts.py安裝到/usr/bin
三: 設置啓動腳本
# cd /usr/share/denyhosts/
拷貝模板文件
# cp daemon-control-dist daemon-control
設置好啓動腳本的所屬用戶和權限
# chown root daemon-control
# chmod 700 daemon-control
生成Denyhost的主配置文件,(將模板文件中開頭是#的過濾後再導入到Denyhost.cfg)
# grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
編輯Denyhost.cfg文件,根據自己需要進行相應的修改
----------------denyhosts.cfg--------------------------------------
SECURE_LOG = /var/log/secure #ssh 日誌文件,它是根據這個文件來判斷的,如還有其他的只要更改名字即可,例如將secure改爲secure.1等
# cd /usr/share/denyhosts/
拷貝模板文件
# cp daemon-control-dist daemon-control
設置好啓動腳本的所屬用戶和權限
# chown root daemon-control
# chmod 700 daemon-control
生成Denyhost的主配置文件,(將模板文件中開頭是#的過濾後再導入到Denyhost.cfg)
# grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg
編輯Denyhost.cfg文件,根據自己需要進行相應的修改
----------------denyhosts.cfg--------------------------------------
SECURE_LOG = /var/log/secure #ssh 日誌文件,它是根據這個文件來判斷的,如還有其他的只要更改名字即可,例如將secure改爲secure.1等
HOSTS_DENY = /etc/hosts.deny
#控制用戶登陸的文件,將多次連接失敗的IP添加到此文件,達到屏蔽的作用
PURGE_DENY =
#過多久後清除已經禁止的,我這裏爲空表示永遠不解禁
#控制用戶登陸的文件,將多次連接失敗的IP添加到此文件,達到屏蔽的作用
PURGE_DENY =
#過多久後清除已經禁止的,我這裏爲空表示永遠不解禁
BLOCK_SERVICE = sshd
#禁止的服務名,如還要添加其他服務,只需添加逗號跟上相應的服務即可
#禁止的服務名,如還要添加其他服務,只需添加逗號跟上相應的服務即可
DENY_THRESHOLD_INVALID = 1
#允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 2
#允許有效用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 3
#允許root登錄失敗的次數
HOSTNAME_LOOKUP=NO
# 是否做域名反解,這裏表示不做
#允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 2
#允許有效用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 3
#允許root登錄失敗的次數
HOSTNAME_LOOKUP=NO
# 是否做域名反解,這裏表示不做
ADMIN_EMAIL = 。。。。
#管理員郵件地址,它會給管理員發郵件
DAEMON_LOG = /var/log/denyhosts
#自己的日誌文件
DAEMON_LOG = /var/log/denyhosts
#自己的日誌文件
其他:
AGE_RESET_VALID=5d #(h表示小時,d表示天,m表示月,w表示周,y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
#用戶的登陸失敗計數會在多長時間後重置爲0
RESET_ON_SUCCESS = yes
#如果一個ip登陸成功後,失敗的登陸計數是否重置爲0
DAEMON_SLEEP = 30s
AGE_RESET_VALID=5d #(h表示小時,d表示天,m表示月,w表示周,y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
#用戶的登陸失敗計數會在多長時間後重置爲0
RESET_ON_SUCCESS = yes
#如果一個ip登陸成功後,失敗的登陸計數是否重置爲0
DAEMON_SLEEP = 30s
#當以後臺方式運行時,每讀一次日誌文件的時間間隔。
DAEMON_PURGE = 1h
#當以後臺方式運行時,清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔。
將 Denyhost啓動腳本添加到自動啓動中
# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local
啓動Denyhost的進程
# /usr/share/denyhosts/daemon-control start
可以查看到Denyhost在運行中
# ps -ef |grep deny
在另外一臺機器上使用ssh進行連接,當在連續幾次輸入錯誤的密碼後,會被自動阻止掉,在一定時內不可以再連接ssh連接記錄的日誌文件。
# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local
啓動Denyhost的進程
# /usr/share/denyhosts/daemon-control start
可以查看到Denyhost在運行中
# ps -ef |grep deny
在另外一臺機器上使用ssh進行連接,當在連續幾次輸入錯誤的密碼後,會被自動阻止掉,在一定時內不可以再連接ssh連接記錄的日誌文件。
查看我的/etc/hosts.deny文件發現裏面已經有135條記錄。
# cat /etc/hosts.deny | wc -l
135
135
作者寫的不錯,希望以後多多交流。
本文出自 “宗軍” 博客,請務必保留此出處http://tech110.blog.51cto.com/438717/287490
本文出自 51CTO.COM技術博客