DenyHosts 阻止SSH暴力破解最好的方法
http://211.147.225.34/gate/big5/Linux.chinaitlab.com/safe/722581.html
在Fedora 下安裝DenyHosts
http://0rz.tw/0939D
在 Fedora 下安裝
#yum -y install denyhosts
安裝完成之後設定檔的位置
#rpm -qc denyhosts
/etc/cron.d/denyhosts
/etc/denyhosts.conf
/etc/logrotate.d/denyhosts
/etc/sysconfig/denyhosts
/var/lib/denyhosts/allowed-hosts
看起來幾乎是不用再做設定上的修改了!
啟動 denyhosts
#/etc/init.d/denyhosts start
讓開機時就會啟動
#chkconfig --level 35 denyhosts on
設定檔範例
#/etc/denyhosts.cfg
SECURE_LOG = /var/log/secure
#ssh 日誌文件,它是根據這個文件來判斷的。
HOSTS_DENY = /etc/hosts.deny
#控制用戶登陸的文件
PURGE_DENY = 5m
#過多久後清除已經禁止的
BLOCK_SERVICE = sshd
#禁止的服務名
DENY_THRESHOLD_INVALID = 1
#允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 10
#允許普通用戶登陸失敗的次數
DENY_THRESHOLD_ROOT = 5
#允許root登陸失敗的次數
HOSTNAME_LOOKUP=NO
#是否做域名反解
ADMIN_EMAIL = root@localhost
#管理員郵件地址,它會給管理員發郵件
DAEMON_LOG = /var/log/denyhosts
#自己的日誌文件
<=========================================>
<文件> log分析程式及阻擋ssh暴力攻擊
http://blog.vixual.net/2005/03/ssh.html
1. log分析分析的項目僅包含 sendmail、pop3、ssh、ProFTP 及 su,並且會在 /var/log 下依日期建立當天的 LOG 檔,分析之後,會回覆給管理者 HTML 格式的電子郵件ftp://wiki.vixual.net/source/log/logview.pl
以crontab 方式去跑
2.阻擋ssh暴力攻擊這整個流程,首先藉由 TCP_Wrappers 的機制 (hosts.deny 及 hosts.allow) 在用戶登入時觸發程式,然後程式會分析該用戶最近這一小時登入的狀況,對於不懷好意的用戶(登入失敗 10 次),直接以防火牆封鎖其 IP,然後程式會寄出一封電子郵件通知管理者。ftp://wiki.vixual.net/source/block_ip/block_ssh.pl
修改權限為755
編輯 /etc/hosts.allow,加入
sshd : ALL : spawn (/usr/bin/block_ssh.pl %c %d)
這樣就完成了,如有必要,請自行修改 block_ssh.pl 裡相關的參數。
--
以上內容由強者我同學 Shinhsin 提供 >//////////<
沒有留言:
張貼留言