linux系统,使用Denyhosts防止ssh暴力破解.

最近在维护公司服务器时候,发现被人恶意爆破尝试破解密码6w多次,于是上网查询了下相关资料学习如何防止ssh暴力破解。

说明：
DenyHosts是Python语言写的一个程序，它会分析sshd的日志文件（默认是/var/log/secure），当发现重复的攻击时就会记录IP到/etc/hosts.deny文件，启用tcp_wrappers，从而达到自动屏IP的功能。 通过http://denyhosts.sourceforge.net可以下载DenyHosts的程序，可以直接下载rpm包来安装，也可以通过src.rpm包重新编译并安装等，通过这种方式默认是安装在/usr/share/denyhosts目录下。

实现：

1. 安装DenyHosts-2.6.tar.gz

[code]# wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
# tar zxvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6
# yum install python -y  //yum安装python，系统基本都有
# python setup.py install

2. 拷贝默认文件

[code]# cd /usr/share/denyhosts/
# cp denyhosts.cfg-dist denyhosts.cfg
# cp daemon-control-dist daemon-control

3. 编辑配置文件denyhosts.cfg

[code]# vim denyhosts.cfg  //该配置文件结构比较简单，简要说明主要参数如下：
PURGE_DENY = 50m #过多久后清除已阻止IP 
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny 
BLOCK_SERVICE = sshd #阻止服务名 
DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数 
DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数 
DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数 
WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中 
DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹 
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。 
HOSTNAME_LOOKUP=NO #是否做域名反解 
ADMIN_EMAIL = #设置管理员邮件地址 
DAEMON_LOG = /var/log/denyhosts #自己的日志文件 
DAEMON_PURGE = 10m #该项与PURGE_DENY 设置成一样，也是清除hosts.deniedssh 用户的时间。
大家可以根据上面的解释，浏览一遍此配置文件，然后根据自己的需要稍微修改即可。

4.  启动Denyhosts

[code]# ./daemon-control start

出现：
starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
DenyHosts could not obtain lock (pid: )
[Errno 17] File exists: '/var/lock/subsys/denyhosts'
使用：
rm -f /var/lock/subsys/denyhosts

./daemon-control start

5.  设置自动启动,让DenyHosts每次重启后自动启动。设置自动启动可以通过两种方法进行。

[code]第一种是将DenyHosts作为类似apache、mysql一样的服务，这种方法可以通过 /etc/init.d/denyhosts 命令来控制其状态。方法如下：
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhosts
# chkconfig --add denyhosts
# chkconfig --level 2345 denyhosts on
第二种是将Denyhosts直接加入rc.local中自动启动（类似于Windows中的“启动文件夹”）：
# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.local

如果想查看已经被阻止的IP，打开/etc/hosts.deny 文件即可。

附录：
附录1.各系统ssh日志位置
ssh日志文件，如果是redhat系列是根据/var/log/secure文件来判断的；Mandrake、FreeBSD是根据 /var/log/auth.log来判断的，而SUSE则是用/var/log/messages来判断的。这些在配置文件里面都有很详细的解释。

附录2.当我把denyhosts安装上启动后，结果/etc/hosts.deny文件中马上就有了我自己的ip地址在里面!晕死，我在安装后根本就还没有尝试登录过啊，又怎么被限制？
分析：我在rhel6和centos6上分别安装了denyhosts软件。结果均出现此情况。我想，既然它是根据/var/log/secure文件中登录失败记录来是判断是否违规，那么，会不会是我在安装denyhosts之前的secure中的失败登录记录也被算作违规呢？那么我删了应该就不会有问题了吧。
办法：cat /dev/null > /var/log/secure 即把secure日志文件全部清空！要注意的是，清空后要service syslog restart（也有可能是rsyslog) 重启日志记数器！因为如果你不重启服务，你会发现secure日志文件会停止记录一切活动了！那么denyhosts也就无效了。
结果：如果安装前就先清空，在安装denyhosts后，就不会自动出现禁止的IP了。
原理：根据官方FAQ上关于denyhosts对监控secure日志文件更新的原理，可以理解上述问题的原因。官方说明大概是这样的：denyhosts在/usr/share/denyhosts/data(即WORK_DIR)中的offset文件中记录了secure的首行记录。
如果说offset文件中的首行记录和现有secure中的首行记录相同，则比较现有secure和offset中最后记录的secure文件的大小，如果现有secure比记录中的secure文件大，则将secure中新增加的部分进行分析，并将新增加的失败登录行记录在了denyhosts记数器中。比如原来记录了root有3次登录失败，这次新增行中又发现了2次，那么一共就5次记录了。当超过DENY_THRESHOLD_ROOT中设立的值时，便将该IP加入hosts.deny中。如果现有secure文件和offset中记录的文件大小相同，则认为secure日志未更新。不做任何操作
如果offset文件中首行记录和现有secure中的首行记录不同，那么则认为secure文件是全新的。那么，offset会重新分析secure日志的所有行。
如果我们刚安装denyhosts，那么offset中并不会有secure日志文件头，也不会有secure日志文件大小的记录，那么denyhosts自然会分析所有的secure日志行，于是乎，我在安装denyhost前一周的所有的登录失败次数被累计起来，如果我在上一周内登录失败记录超过限制数，那么肯定就会在启动denyhosts后马上被加入黑名单了！（为什么是一周之内？因为secure日志文件记录的周期为一个星期！）

附录3.在另一台机器上我设置了DENY_THRESHOLD_ROOT=5 ，安装后结果我root用户才输错一次密码就给我封杀了！按参数意思应该是5次机会啊！不用这么绝吧！
和第一个问题是一个原因。只要先将secure清空再安装，一切就正常了。原因是，root用户在安装前就有了失败的记录，影响到denyhosts的次数判断。如你安装denyHosts之前root已经错误登录4次。那么你再用root登录1次就会发现登录不了了。我的其实安装denyhosts前日志中的记录就已经有4次了，所以马上被封杀了。

附录4.我设置了PURGE_DENY=3m，即3分钟清除hosts.deny中添加的记录。结果我苦等十分钟还不见/etc/hosts.deny中添加的ip被清除！这不是存心不让我再次登录了吗？好在我当前的ssh连接没断开。要断开了岂不没得连了？
还需要修改/usr/share/denyhosts/denyhosts.cfg中的DAEMON_PURGE = 3m，这个参数与PURGE_DENY=3m一样，感觉都是用于设置当某个ip 3分钟不再重新ssh登陆，将此ip从/etc/hosts.deny删除。DAEMON_PURGE = 3m可以设置长点，如1h，这里设置为3m主要是为了测试快。总不能等1小时吧。

附录5.这个所谓的阻止暴力破解，貌似只对ssh连接有效，我用ftp登录，然后不停的尝试登录，结果却没有被添加进阻止。
这个，我没有去试！

附录6.我将hosts.deny文件中的用户列表删除后，不久后竟然又自动给添加进来了！我@#￥￥。。难道硬是不让我再次登录了？！！
参考了官方文档才发现，原来不能单纯的只删除hosts.deny中的记录，要想删干净，得先service denyhosts stop .然后再把/usr/share/denyhosts/data目录下的其它文件中关于hosts.deny中的IP记录一并清空。再service denyhosts start即可。但有的时候只清除hosts.deny中的文件也可以。

附录7.denyhosts日志位置
# less /var/log/denyhosts

参考：
看这位仁兄的文章，他当初搞这个，肯定搞得很郁闷。特此记录下

http://linuxroad.blog.51cto.com/765922/673425