DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。
参考文档:
http://www.cnblogs.com/suihui/p/3899381.html
鉴于阿里云已经是部署了epel镜像源,所以直接使用yum安装即可:
yum install denyhosts -y
配置文件/etc/denyhosts.cfg:
#日志文件存放位置(直接用默认即可)
SECURE_LOG = /var/log/secure
#系统控制用户登录文件
HOSTS_DENY = /etc/hosts.deny
#过多久后清除已经禁止的
PURGE_DENY =
#禁止服务名称
BLOCK_SERVICE = sshd
#无效用户登录失败次数(/etc/passwd文件中没有的用户)
DENY_THRESHOLD_INVALID = 1
#普通用户登录失败次数(/etc/passwd文件中有的用户
DENY_THRESHOLD_VALID = 10
#root登录失败次数
DENY_THRESHOLD_ROOT = 3
DENY_THRESHOLD_RESTRICTED = 1
#存放denyhosts信息的位置,可以从这里看到被攻击的情况
WORK_DIR = /usr/share/denyhosts/data
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
#禁止做逆向域名解析
HOSTNAME_LOOKUP=NO
LOCK_FILE = /var/lock/subsys/denyhosts
#denyhosts自己的日志文件
DAEMON_LOG = /var/log/denyhosts
#设置邮件报警
ADMIN_EMAIL = #mail1.apicloud.com,mail2.apicloud.com
SMTP_HOST = mail.163.com
SMTP_PORT = 25
SMTP_USERNAME=gitlab2015@163.com
SMTP_PASSWORD=nxgfvizafijytymx
SMTP_FROM = DenyHosts <gitlab2015@163.com>
SMTP_SUBJECT = DenyHosts Report
#重置设置
AGE_RESET_VALID=5d
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h
设置白名单:
echo "10.*.*.*" >> /var/lib/denyhosts/allowed-hosts #相当于将10.0.0.0/8整个内网网段加到白名单
删除黑名单中的IP:
如果想删除一个已经禁止的主机IP,并加入到允许主机例表,只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录,进入以下操作: 1、停止DenyHosts服务:$service denyhosts stop 2、在 /etc/hosts.deny 中删除你想取消的主机IP 3、编辑 DenyHosts 工作目录的所有文件,通过
$grep 192.168.1.191 /var/lib/denyhosts/* 然后一个个删除文件中你想取消的主机IP所在的行:
*/var/lib/denyhosts/hosts
*/var/lib/denyhosts/hosts-restricted
*/var/lib/denyhosts/hosts-root
*/var/lib/denyhosts/hosts-valid
*/var/lib/denyhosts/users-hosts
4、添加你想允许的主机IP地址到
/var/lib/denyhosts/allowed-hosts vi /var/lib/denyhosts/allowed-hostsps
# We mustn't block localhost
127.0.0.1
192.168.1.* 5、启动DenyHosts服务: service denyhosts start