Linux/Centos7通过DenyHosts阻止SSH口令攻击

Linux/Centos7通过DenyHosts阻止SSH口令攻击

DenyHosts介绍

  DenyHosts是一个python脚本帮助阻止SSH攻击(基于字典或暴力的密码攻击),它的原理很简单:通过分析系统安全日志(/var/log/secure)中的无效登录者的IP和无效登录次数与用户设置的阈值进行比较,如果尝试次数超过用户设置的阈值则将该IP加入/etc/hosts.deny,实现将其封锁。

DenyHosts版本与分支

  DenyHosts最早由Phil Schwartz开发,并在2.6版本之后停止发布更新,之后由Matt Ruffalo在Github继续开发。笔者编写本文时,已经预发行了3.1beta版,该版本支持python的任意版本,本次部署将使用此版本。如果你的python版本较低(2.7及以下),请使用DenyHosts 2.10。

本次部署环境及版本

  • Centos 7.7
  • DenyHosts 3.1 beta
  • python 2.7.5

下载并安装DenyHosts

1
2
3
4
5
6
yum install python-ipaddr #安装依赖
wget https://sourceforge.net/projects/denyhost/files/denyhost-3.1/denyhosts-3.1.tar.gz
tar zxf denyhosts-3.1.tar.gz -C /usr/local/
cd /usr/local/denyhosts/
python setup.py install
cp denyhosts.conf /etc/

  denyhosts配置文件在/etc/denyhosts.conf,配置文件中必须要改的是SECURE_LOG的位置,默认启用的是“Debian and Ubuntu”的SECURE_LOG位置。

denyhosts.conf重新指定SECURE_LOG的位置
1
2
3
vi /etc/denyhosts.conf
将`SECURE_LOG = /var/log/auth.log`这一行前面加#号注释掉
将`SECURE_LOG = /var/log/secure`这一行前面的#号去掉

  其余的配置可以参考下面的注解按需配置:

denyhosts.conf主要配置解读
1
2
3
4
5
6
7
8
9
10
11
12
13
SECURE_LOG = /var/log/secure   #系统安全日志,保持默认即可
PURGE_DENY = 60d #解封黑名单中的IP的周期
HOSTS_DENY = /etc/hosts.deny #指定hosts.deny的位置
BLOCK_SERVICE = sshd #阻止的服务名称
PURGE_THRESHOLD = 5 #设定解封次数,超过之后永久禁止;
DENY_THRESHOLD_INVALID = 1 #允许无效的用户登录失败次数
DENY_THRESHOLD_VALID = 5 #允许正常用户的登录失败次数
DENY_THRESHOLD_ROOT = 5 #允许root登录失败次数
WORK_DIR = /usr/local/denyhosts/data #指定工作目录,保存封锁的IP
LOCK_FILE = /var/lock/subsys/denyhosts #文件锁,防止启动多个进程
HOSTNAME_LOOKUP=NO #是否解析主机名(占用网络资源)
ADMIN_EMAIL = #设置报警邮箱,配合SMTP设置可实现邮件报警,默认是给root发信。
DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置

创建服务脚本,设置开机启动

  这里要提前强调一点,DenyHosts启动后会读取/var/log/secure中的SSH登录日志,将符合封锁条件的IP加入/etc/hosts.deny文件中,并在/usr/local/denyhosts/data工作目录中保存,届时删除黑名单中的IP会略微麻烦(你办公网的IP很可能也有过登录失败记录)。笔者建议在启动DenyHosts前先清理一下系统安全日志:

1
2
> /var/log/secure
rm -rf /var/log/secure-*

  然后创建服务脚本,设置开机启动

1
2
3
4
5
6
7
8
9
10
11
12
13
cp daemon-control-dist daemon-control
vi daemon-control

DENYHOSTS_BIN = "/usr/sbin/denyhosts"
改成:
DENYHOSTS_BIN = "/usr/local/denyhosts/denyhosts.py"

chown root daemon-control
chmod 700 daemon-control
ln -s /usr/local/denyhosts/daemon-control /etc/init.d/denyhosts
systemctl daemon-reload #重载systemd配置
systemctl start denyhosts #启动denyhosts
systemctl enable denyhosts #设置开机启动denyhosts

  如果没有报错,此时denyhosts已经启动,使用systemctl status denyhosts可以查看运行状态,如果服务器是公网IP且ssh端口正常开放,可以tailf /etc/hosts.deny,很快就会看到猜测密码的IP被封锁进来。

systemctl status denyhosts

参考

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×