最进爆破SSH的人很多，也做一个防SSH的教程给大家，一键安装DenyHosts安装脚本 SSH, DenyHosts, FTP暴破

一键安装DenyHosts安装脚本，Centos安装DenyHosts


很多的站长使用VPS主机做自己的网站，但对于VPS主机的安全问题尤为的需要大家关心。不管我们是用一键lanmp包、还是用面板搭建自己的网站，VPS主机的安全不仅仅如此，很多时候可能由于对网站的攻击、也可能是对端口的扫描破解，甚至有各种可能存在的不安全因素。危害我也不多说了大家可以看看站长的帖子http://www.idc866.com/thread-18306-1-1.html


防SSH/FTP暴破，DDOS,， 非常给力。






DenyHosts工具是LINUX系统下来阻止暴力破解SSH的工具，一旦设定之后可以阻止因为试探登录和破解账户的IP次数，类似DEFLATE工具的原理。


具体的工作原理：我们可以监控到某个IP的异常请求连接，达到多少次数之后对其进行限制，然后所有的过滤阻止的IP都存在一个文档中我们可以进行分析切进行其他手段的永久限制。



DenyHosts工具的具体具体安全和使用方法：




第一、从官方下载最新源码包

1. wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
   
2. tar zxvf DenyHosts-2.6.tar.gz
   
3. cd DenyHosts-2.6

复制代码

第二、部署安全工具

1. yum install python -y
   
2. python setup.py install

复制代码

第三、配置文件

1. cd /usr/share/denyhosts/
   
2. cp denyhosts.cfg-dist denyhosts.cfg
   
3. cp daemon-control-dist daemon-control

复制代码

第四、编辑配置文件denyhosts.cfg这个文件在/usr/share/denyhosts/目录下，我们可以通过WINSCP工具下载到本地，然后慢慢分析设定配置文件，具体我们只需要通过CRTL+F搜索下面的几个命令行，然后如果需要设置的把前面#去掉修改后面的参数。


PURGE_DENY：当IP被阻止之后，多久自动释放，文档中可以选择1w(1周)和5d(5天)，我们可以自己设定PURGE_THRESHOLD：设定某个IP被限制多少次之后永久封闭




BLOCK_SERVICE：我们需要阻止的服务名称




DENY_THRESHOLD_INVALID：一个无效的用户尝试多少次之后被阻止




DENY_THRESHOLD_VALID：一个有效的用户尝试多少次之后被阻止




DENY_THRESHOLD_ROOT：ROOT用户尝试多少次被阻止



HOSTNAME_LOOKUP：是否尝试的解析IP的域名地址
一般我们只需要设置上面的7个选项就可以。






第五、启动Denyhosts服务

1. ./daemon-control start

复制代码

我们最好是要设定自动启动，不能每次还需要手工启动。

1. cd /etc/init.d
   
2. ln -s /usr/share/denyhosts/daemon-control denyhosts
   
3. chkconfig --add denyhosts
   
4. chkconfig -level 2345 denyhosts on

复制代码

这样我们就完成了设置以及自动启动，如果我们希望看看哪些地址在尝试登录我们账户，可以在/etc/hosts.deny文件中看到具体的记录数据。

回复 4# idc886


   这个就是专业防SSH登录的，在邮件，FTP方面是有些缺陷，可以修改FTP权限，端口等配合使用，效果是非常不错的，我的几个大站的VPS很明显，centos下测试通过，Debian的还没有做测试，一直使用的centos系统，大家可以根据你的站的情况选择防护的。