最进爆破SSH的人很多,也做一个防SSH的教程给大家,一键安装DenyHosts安装脚本
一键安装[size=5][color=#ff0000]DenyHosts[/color][/size]安装脚本,Centos安装DenyHosts[color=#333333][size=14px]很多的站长使用VPS主机做自己的网站,但对于VPS主机的安全问题尤为的需要大家关心。不管我们是用一键lanmp包、还是用面板搭建自己的网站,VPS主机的安全不仅仅如此,很多时候可能由于对网站的攻击、也可能是对端口的扫描破解,甚至有各种可能存在的不安全因素。危害我也不多说了大家可以看看站长的帖子[/size][/color][size=5][color=#ff0000][url=http://www.idc866.com/thread-18306-1-1.html]http://www.idc866.com/thread-18306-1-1.html[/url][/color][/size]
防SSH/FTP暴破,DDOS,, 非常给力。
[font=Monaco, Consolas,][color=#ff0000]
[/color][/font]
[color=#ff0000]DenyHosts[/color]工具是LINUX系统下来阻止暴力破解SSH的工具,一旦设定之后可以阻止因为试探登录和破解账户的IP次数,类似DEFLATE工具的原理。
[color=#ff0000]
[/color]
[color=#ff0000]具体的工作原理[/color]:我们可以监控到某个IP的异常请求连接,达到多少次数之后对其进行限制,然后所有的过滤阻止的IP都存在一个文档中我们可以进行分析切进行其他手段的永久限制。
[size=4]
[/size]
[size=4]DenyHosts工具的具体具体安全和使用方法:[/size]
[size=4]
[/size]
[size=4]
[/size]
[size=4][color=#4169e1]第一、从官方下载最新源码包[/color][/size]
[code]wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
tar zxvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6[/code]
[size=4][color=#4169e1]
[/color][/size][font=arial, courier new, courier, 宋体, monospace][size=4][color=#4169e1]
[/color][/size][/font][font=arial, courier new, courier, 宋体, monospace][size=4][color=#4169e1]
[/color][/size][/font]
[font=arial, courier new, courier, 宋体, monospace][size=4][color=#4169e1]第二、部署安全工具[/color][/size][/font][font=arial, courier new, courier, 宋体, monospace][size=4][color=#4169e1]
[/color][/size][/font][font=仿宋_GB2312][size=3][color=#000000][code]yum install python -y
python setup.py install[/code][/color][color=#4169e1]
[/color][/size][/font][font=仿宋_GB2312][size=3][color=#000000]
[/color][/size][/font][font=仿宋_GB2312][size=3][color=#0000ff]
[/color][/size][/font]
[font=仿宋_GB2312][size=3][color=#0000ff]
[/color][/size][/font]
[font=仿宋_GB2312][size=3][color=#0000ff]
[/color][/size][/font]
[font=仿宋_GB2312][size=3][color=#0000ff]第三、配置文件[/color][/size][/font][font=仿宋_GB2312][size=3][color=#0000ff]
[/color][/size][/font][font=仿宋_GB2312][size=3][color=#000000][code]cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
cp daemon-control-dist daemon-control[/code][/color][color=#0000ff]
[/color][/size][/font][font=仿宋_GB2312][size=3][color=#4169e1]
[/color][/size][/font][font=仿宋_GB2312][size=3][color=#4169e1]
[/color][/size][/font]
[font=仿宋_GB2312][size=3][color=#4169e1]
[/color][/size][/font]
[font=仿宋_GB2312][size=3][color=#4169e1]
[/color][/size][/font]
[font=仿宋_GB2312][size=3][color=#4169e1]第四、编辑配置文件denyhosts.cfg[/color][/size][/font]这个文件在/usr/share/denyhosts/目录下,我们可以通过WINSCP工具下载到本地,然后慢慢分析设定配置文件,具体我们只需要通过CRTL+F搜索下面的几个命令行,然后如果需要设置的把前面#去掉修改后面的参数。
PURGE_DENY:当IP被阻止之后,多久自动释放,文档中可以选择1w(1周)和5d(5天),我们可以自己设定[color=#333333]PURGE_THRESHOLD:设定某个IP被限制多少次之后永久封闭[/color]
[color=#333333]
[/color]
[color=#333333]
[/color]
[color=#333333]BLOCK_SERVICE:我们需要阻止的服务名称[/color]
[color=#333333]
[/color]
[color=#333333]
[/color]
[color=#333333]DENY_THRESHOLD_INVALID:一个无效的用户尝试多少次之后被阻止[/color]
[color=#333333]
[/color]
[color=#333333]
[/color]
[color=#333333]DENY_THRESHOLD_VALID:一个有效的用户尝试多少次之后被阻止[/color]
[color=#333333]
[/color]
[color=#333333]
[/color]
[color=#333333]DENY_THRESHOLD_ROOT:ROOT用户尝试多少次被阻止[/color]
HOSTNAME_LOOKUP:是否尝试的解析IP的域名地址
一般我们只需要设置上面的7个选项就可以。
[font=Microsoft YaHei, Verdana, sans-serif][color=#4169e1]
[/color][/font]
[font=Microsoft YaHei, Verdana, sans-serif][color=#4169e1]
[/color][/font]
[font=Microsoft YaHei, Verdana, sans-serif][color=#4169e1]
[/color][/font]
[font=Microsoft YaHei, Verdana, sans-serif][color=#4169e1]第五、启动Denyhosts服务[/color][/font][font=Microsoft YaHei, Verdana, sans-serif][color=#000000]
[/color][/font][font=Microsoft YaHei, Verdana, sans-serif][color=#000000]
[/color][/font]
[font=Microsoft YaHei, Verdana, sans-serif][color=#000000]
[/color][/font]
[font=Microsoft YaHei, Verdana, sans-serif][color=#000000][code]./daemon-control start[/code][/color]
[/font][font=Microsoft YaHei, Verdana, sans-serif][color=#000000]
[/color][/font][color=#ff0000]我们最好是要设定自动启动,不能每次还需要手工启动。[/color]
[code]cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig -level 2345 denyhosts on[/code]
[color=#ff0000]
[/color]
[color=#ff0000]这样我们就完成了设置以及自动启动,如果我们希望看看哪些地址在尝试登录我们账户,可以在/etc/hosts.deny文件中看到具体的记录数据[/color][color=#333333]。[/color][font=arial, courier new, courier, 宋体, monospace][size=4][color=#4169e1]
[/color][/size][/font] 有时间,得试试。 看这个效果如何。
据说还有个 CSF防火墙 也一样的性能。 有时间,得试试。
到时比比, fail2ban 、CSF、DenyHosts 的区别。
Centos安装DenyHosts , 难道这样装的不支持 Debian ?
要是Centos、 Debian 都支持,到时都弄个一键sh脚本,简单安装,方便使用。 默认设置下,Debian 7下启动出现错误:
python: can't open file '/usr/bin/denyhosts.py': [Errno 2] No such file or directory
看来也是对Debian 哪里设置还有问题。
刚百度了一下,Debian原来一样直接 apt-get install denyhosts 就成了。
---------------------------------------
[p=30, 2, left]关于Debian下安装denyhosts,百度了半天没有适合的,还是谷歌英文给力点,其实debian下安装很简单:
1、安装denyhosts
#apt-get install denyhosts
2、配置Denyhosts
#nano /etc/denyhosts.conf
(如果没有编辑器nano,就安装一个apt-get install nano,很多时候发现debian强大的地方就是什么鸟东西他都可以apt-get安装)
其实默认配置我觉得足够了,修改下root的失败次数,默认的是1,一般修改成3-5就行了,DENY_THRESHOLD_ROOT = 3
还有这里HOSTNAME_LOOKUP=NO
用nano设置好以后CTR+O保存,记得回车一下,然后CTR+X退出
3、重启/etc/init.d/denyhosts restart[/p]
[p=30, 2, left][color=#555555][size=12px]PURGE_DENY = 30m阻止30分钟! (/etc/denyhosts.conf 文件里)[/size][/color][/p]
[p=30, 2, left][color=#555555][size=12px]加入到自动重启[/size][/color]
# vi /etc/rc.local
加入下面这条命令
/usr/share/denyhosts/daemon-control start
[color=royalblue]使用脚本加入自启动:
[/color]echo "/usr/share/denyhosts/daemon-control start">>/etc/rc.local
[color=darkred]apt-get 安装默认/etc/denyhosts.conf [/color][color=red]里 PURGE_DENY = 为空,不阻止[/color],[/p]
可分别设置以下值:
PURGE_DENY = 30m 30分
PURGE_DENY = 1h 1小时
PURGE_DENY = 5d 5天
PURGE_DENY = 1w 1周 用DenyHosts可以阻止试图猜测SSH登录口令,它会分析/var/log/secure等日志文件,当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。
看了配制文件,他只有检测 SSH 日志,
看来没有fail2ban , fail2ban这个可以处理 其它的日志,如邮件,FTP日志等等。
还有CSF,可检测CP、DA面板啥的,
据说是以连接数限定判断,可检测21、22、80的连接数等, 过下测试CSF [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157290&ptid=18311]4#[/url] [i]idc886[/i] [/b]
这个就是专业防SSH登录的,在邮件,FTP方面是有些缺陷,可以修改FTP权限,端口等配合使用,效果是非常不错的,我的几个大站的VPS很明显,centos下测试通过,Debian的还没有做测试,一直使用的centos系统,大家可以根据你的站的情况选择防护的。
页:
[1]
