linux服務(wù)器如何防范ssh嘗試攻擊

　　查看了該IP的嘗試次數(shù)和時(shí)間，一直從凌晨4點(diǎn)到下午1點(diǎn)

　　多達(dá)9288次的掃描，從圖中可以看出正在嘗試各種用戶名來(lái)連接，真他媽的沒(méi)事干，也不知道用什么破軟件在那里無(wú)聊，幸好我的密碼也夠復(fù)雜，要不然嘿嘿..........

　　我服務(wù)器上的secure有多個(gè)，按時(shí)間進(jìn)行截取的，我對(duì)其中的secure.1文件進(jìn)行統(tǒng)計(jì)。

　　獲取其中的ip地址和數(shù)量：

　　# grep -o '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' /var/log/secure.1 | sort | uniq -c

　　如此之多，讓我不禁冒出冷汗，真嚇人，也不知道我的服務(wù)器上面有什么好東西，那么喜歡，真二!!!!當(dāng)然如果是自己通過(guò)ssh成功連接，記錄也會(huì)在這里面。

　　為了防止此類無(wú)聊之人再次光臨，就得想辦法不讓他們進(jìn)行掃描，本人在網(wǎng)上查找資料，得知Denyhosts軟件可以達(dá)到該效果，DenyHosts是Python語(yǔ)言寫的一個(gè)程序，它會(huì)分析sshd的日志文件(/var/log/secure)，當(dāng)發(fā)現(xiàn)重復(fù)的攻擊時(shí)就會(huì)記錄IP到/etc/hosts.deny文件，從而達(dá)到自動(dòng)屏IP的功能。如果是手動(dòng)添加的話不把人累死才怪。

　　DenyHosts官方網(wǎng)站為：http://denyhosts.sourceforge.net

　　本文已附上附件，是從該網(wǎng)站下載的，版本為較新的2.6版。

　　一:檢查安裝要求

　　首選檢查Sshd是否支持 Tcpwrap，只有支持Tcpwrap才可以安裝Denyhost

　　# ldd /usr/sbin/sshd |grep wrap

　　libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00864000) //出現(xiàn)此信息時(shí)表示支持

　　再檢查 Python的版本，Python2.3以上版本可以直接安裝

　　# python -V

　　Python 2.4.3

　　均達(dá)到要求

　　二:安裝Denyhosts

　　先下載該軟件，然后解壓安裝

　　進(jìn)行解壓再進(jìn)入到源目錄

　　# tar -xzvf DenyHosts-2.6.tar.gz

　　# cd DenyHosts-2.6

　　執(zhí)行Python腳本進(jìn)行安裝，

　　# python setup.py install

　　程序腳本自動(dòng)安裝到/usr/share /denyhosts

　　庫(kù)文件自動(dòng)安裝到/usr/lib/python2.4/site-packages /DenyHosts

　　denyhosts.py安裝到/usr/bin

　　三: 設(shè)置啟動(dòng)腳本

　　# cd /usr/share/denyhosts/

　　拷貝模板文件

　　# cp daemon-control-dist daemon-control

　　設(shè)置好啟動(dòng)腳本的所屬用戶和權(quán)限

　　# chown root daemon-control

　　# chmod 700 daemon-control

　　生成Denyhost的主配置文件，(將模板文件中開(kāi)頭是#的過(guò)濾后再導(dǎo)入到Denyhost.cfg)

　　# grep -v "^#" denyhosts.cfg-dist > denyhosts.cfg

　　編輯Denyhost.cfg文件，根據(jù)自己需要進(jìn)行相應(yīng)的修改

　　----------------denyhosts.cfg--------------------------------------

　　SECURE_LOG = /var/log/secure #ssh 日志文件，它是根據(jù)這個(gè)文件來(lái)判斷的，如還有其他的只要更改名字即可，例如將secure改為secure.1等

　　HOSTS_DENY = /etc/hosts.deny

　　#控制用戶登陸的文件，將多次連接失敗的IP添加到此文件，達(dá)到屏蔽的作用

　　PURGE_DENY =

　　#過(guò)多久后清除已經(jīng)禁止的，我這里為空表示永遠(yuǎn)不解禁

　　BLOCK_SERVICE = sshd

　　#禁止的服務(wù)名，如還要添加其他服務(wù)，只需添加逗號(hào)跟上相應(yīng)的服務(wù)即可

　　DENY_THRESHOLD_INVALID = 1

　　#允許無(wú)效用戶失敗的次數(shù)

　　DENY_THRESHOLD_VALID = 2

　　#允許有效用戶登錄失敗的次數(shù)

　　DENY_THRESHOLD_ROOT = 3

　　#允許root登錄失敗的次數(shù)

　　HOSTNAME_LOOKUP=NO

　　# 是否做域名反解，這里表示不做

　　ADMIN_EMAIL = 。。。。

　　#管理員郵件地址,它會(huì)給管理員發(fā)郵件

　　DAEMON_LOG = /var/log/denyhosts

　　#自己的日志文件

　　其他：

　　AGE_RESET_VALID=5d #(h表示小時(shí)，d表示天，m表示月，w表示周，y表示年)

　　AGE_RESET_ROOT=25d

　　AGE_RESET_RESTRICTED=25d

　　AGE_RESET_INVALID=10d

　　#用戶的登陸失敗計(jì)數(shù)會(huì)在多長(zhǎng)時(shí)間后重置為0

　　RESET_ON_SUCCESS = yes

　　#如果一個(gè)ip登陸成功后，失敗的登陸計(jì)數(shù)是否重置為0

　　DAEMON_SLEEP = 30s

　　#當(dāng)以后臺(tái)方式運(yùn)行時(shí)，每讀一次日志文件的時(shí)間間隔。

　　DAEMON_PURGE = 1h

　　#當(dāng)以后臺(tái)方式運(yùn)行時(shí)，清除機(jī)制在 HOSTS_DENY 中終止舊條目的時(shí)間間隔,這個(gè)會(huì)影響PURGE_DENY的間隔。

　　將 Denyhost啟動(dòng)腳本添加到自動(dòng)啟動(dòng)中

　　# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local

　　啟動(dòng)Denyhost的進(jìn)程

　　# /usr/share/denyhosts/daemon-control start

　　可以查看到Denyhost在運(yùn)行中

　　# ps -ef |grep deny

　　在另外一臺(tái)機(jī)器上使用ssh進(jìn)行連接，當(dāng)在連續(xù)幾次輸入錯(cuò)誤的密碼后，會(huì)被自動(dòng)阻止掉，在一定時(shí)內(nèi)不可以再連接ssh連接記錄的日志文件。

　　查看我的/etc/hosts.deny文件發(fā)現(xiàn)里面已經(jīng)有135條記錄。

　　# cat /etc/hosts.deny | wc -l

　　135

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]