返回列表 发帖

Rank: 3Rank: 3

帖子
40 
积分
802 
金钱
39  
在线时间
143 小时 
注册时间
2014-5-14 
最后登录
2018-6-3 
1# 跳转到 » 倒序看帖
打印
tT
953436431发表于 2014-6-28 00:48 | 只看该作者

最进爆破SSH的人很多,也做一个防SSH的教程给大家,一键安装DenyHosts安装脚本

SSH, DenyHosts, FTP暴破
一键安装DenyHosts安装脚本,Centos安装DenyHosts


很多的站长使用VPS主机做自己的网站,但对于VPS主机的安全问题尤为的需要大家关心。不管我们是用一键lanmp包、还是用面板搭建自己的网站,VPS主机的安全不仅仅如此,很多时候可能由于对网站的攻击、也可能是对端口的扫描破解,甚至有各种可能存在的不安全因素。危害我也不多说了大家可以看看站长的帖子http://www.idc866.com/thread-18306-1-1.html


防SSH/FTP暴破,DDOS,, 非常给力。






DenyHosts工具是LINUX系统下来阻止暴力破解SSH的工具,一旦设定之后可以阻止因为试探登录和破解账户的IP次数,类似DEFLATE工具的原理。


具体的工作原理:我们可以监控到某个IP的异常请求连接,达到多少次数之后对其进行限制,然后所有的过滤阻止的IP都存在一个文档中我们可以进行分析切进行其他手段的永久限制。



DenyHosts工具的具体具体安全和使用方法:




第一、从官方下载最新源码包


  1. wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
  2. tar zxvf DenyHosts-2.6.tar.gz
  3. cd DenyHosts-2.6
复制代码





第二、部署安全工具
  1. yum install python -y
  2. python setup.py install
复制代码








第三、配置文件
  1. cd /usr/share/denyhosts/
  2. cp denyhosts.cfg-dist denyhosts.cfg
  3. cp daemon-control-dist daemon-control
复制代码








第四、编辑配置文件denyhosts.cfg这个文件在/usr/share/denyhosts/目录下,我们可以通过WINSCP工具下载到本地,然后慢慢分析设定配置文件,具体我们只需要通过CRTL+F搜索下面的几个命令行,然后如果需要设置的把前面#去掉修改后面的参数。


PURGE_DENY:当IP被阻止之后,多久自动释放,文档中可以选择1w(1周)和5d(5天),我们可以自己设定PURGE_THRESHOLD:设定某个IP被限制多少次之后永久封闭




BLOCK_SERVICE:我们需要阻止的服务名称




DENY_THRESHOLD_INVALID:一个无效的用户尝试多少次之后被阻止




DENY_THRESHOLD_VALID:一个有效的用户尝试多少次之后被阻止




DENY_THRESHOLD_ROOT:ROOT用户尝试多少次被阻止



HOSTNAME_LOOKUP:是否尝试的解析IP的域名地址
一般我们只需要设置上面的7个选项就可以。






第五、启动Denyhosts服务




  1. ./daemon-control start
复制代码


我们最好是要设定自动启动,不能每次还需要手工启动。




  1. cd /etc/init.d
  2. ln -s /usr/share/denyhosts/daemon-control denyhosts
  3. chkconfig --add denyhosts
  4. chkconfig -level 2345 denyhosts on
复制代码





这样我们就完成了设置以及自动启动,如果我们希望看看哪些地址在尝试登录我们账户,可以在/etc/hosts.deny文件中看到具体的记录数据
收藏 分享
分享到: QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友

Rank: 9Rank: 9Rank: 9

帖子
8705 
积分
27266 
金钱
8451  
在线时间
1895 小时 
注册时间
2009-4-18 
最后登录
2023-10-10 
2#
idc886发表于 2014-6-28 15:03 | 只看该作者
有时间,得试试。    看这个效果如何。   

据说还有个 CSF防火墙  也一样的性能。   有时间,得试试。

到时比比, fail2ban 、CSF、DenyHosts 的区别。

Centos安装DenyHosts ,  难道这样装的不支持 Debian ?

要是Centos、 Debian 都支持,到时都弄个一键sh脚本,简单安装,方便使用。
★ 11月开空间新规则,百度GG收录百贴:http://idc866.com/thread-15155-1-1.html
★ 本站转型:推荐免费空间,收集免费空间,免费空间测试,并提供原创申请教程。
★ 免备案空间,免费空间,免费国外空间,国外免费空间,免费美国空间
★ 我们是一群辛勤的小站站长,我们需要团结,我们需要共同进步!!!!
★ 达要求开空间,论坛发申请贴后,请加QQ:876812422  (一般在线、有Q必回)

TOP

Rank: 9Rank: 9Rank: 9

帖子
8705 
积分
27266 
金钱
8451  
在线时间
1895 小时 
注册时间
2009-4-18 
最后登录
2023-10-10 
3#
idc886发表于 2014-6-28 16:21 | 只看该作者
默认设置下,Debian 7下启动出现错误:

python: can't open file '/usr/bin/denyhosts.py': [Errno 2] No such file or directory

看来也是对Debian 哪里设置还有问题。



刚百度了一下,Debian原来一样直接     apt-get install denyhosts 就成了。

---------------------------------------

关于Debian下安装denyhosts,百度了半天没有适合的,还是谷歌英文给力点,其实debian下安装很简单:
1、安装denyhosts
#apt-get install denyhosts
2、配置Denyhosts
#nano /etc/denyhosts.conf
(如果没有编辑器nano,就安装一个apt-get install nano,很多时候发现debian强大的地方就是什么鸟东西他都可以apt-get安装)
其实默认配置我觉得足够了,修改下root的失败次数,默认的是1,一般修改成3-5就行了,DENY_THRESHOLD_ROOT = 3
还有这里HOSTNAME_LOOKUP=NO
用nano设置好以后CTR+O保存,记得回车一下,然后CTR+X退出
3、重启/etc/init.d/denyhosts restart


PURGE_DENY = 30m阻止30分钟!    (/etc/denyhosts.conf 文件里)


加入到自动重启
  # vi /etc/rc.local
  加入下面这条命令
  /usr/share/denyhosts/daemon-control start



使用脚本加入自启动:
echo "/usr/share/denyhosts/daemon-control start">>/etc/rc.local
apt-get 安装默认/etc/denyhosts.conf  里 PURGE_DENY = 为空,不阻止,


可分别设置以下值:

PURGE_DENY = 30m   30分
PURGE_DENY = 1h     1小时
PURGE_DENY = 5d     5天
PURGE_DENY = 1w     1周
★ 11月开空间新规则,百度GG收录百贴:http://idc866.com/thread-15155-1-1.html
★ 本站转型:推荐免费空间,收集免费空间,免费空间测试,并提供原创申请教程。
★ 免备案空间,免费空间,免费国外空间,国外免费空间,免费美国空间
★ 我们是一群辛勤的小站站长,我们需要团结,我们需要共同进步!!!!
★ 达要求开空间,论坛发申请贴后,请加QQ:876812422  (一般在线、有Q必回)

TOP

Rank: 9Rank: 9Rank: 9

帖子
8705 
积分
27266 
金钱
8451  
在线时间
1895 小时 
注册时间
2009-4-18 
最后登录
2023-10-10 
4#
idc886发表于 2014-6-28 16:55 | 只看该作者
用DenyHosts可以阻止试图猜测SSH登录口令,它会分析/var/log/secure等日志文件,当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。


看了配制文件,他只有检测 SSH 日志,  
看来没有fail2ban ,  fail2ban这个可以处理 其它的日志,如邮件,FTP日志等等。

还有CSF,可检测CP、DA面板啥的,
据说是以连接数限定判断,可检测21、22、80的连接数等, 过下测试CSF
★ 11月开空间新规则,百度GG收录百贴:http://idc866.com/thread-15155-1-1.html
★ 本站转型:推荐免费空间,收集免费空间,免费空间测试,并提供原创申请教程。
★ 免备案空间,免费空间,免费国外空间,国外免费空间,免费美国空间
★ 我们是一群辛勤的小站站长,我们需要团结,我们需要共同进步!!!!
★ 达要求开空间,论坛发申请贴后,请加QQ:876812422  (一般在线、有Q必回)

TOP

Rank: 3Rank: 3

帖子
40 
积分
802 
金钱
39  
在线时间
143 小时 
注册时间
2014-5-14 
最后登录
2018-6-3 
5#
953436431发表于 2014-6-29 03:04 | 只看该作者
回复 4# idc886


   这个就是专业防SSH登录的,在邮件,FTP方面是有些缺陷,可以修改FTP权限,端口等配合使用,效果是非常不错的,我的几个大站的VPS很明显,centos下测试通过,Debian的还没有做测试,一直使用的centos系统,大家可以根据你的站的情况选择防护的。

TOP

返回列表