利用DenyHosts软件挡掉暴力破解 ssh 的使用者

| ULiE3s0`#r|e9t.E不管是架设好 Linux 跟 FreeBSD 通常都会有国外的 hacker 来 try 机器的 SSH 账号密码，我想这是很正常的，网络上也提供很多方法来分析 Log 檔，FreeBSD：/var/log/auth.log，我可以分析档案，然后再利用 firewall like ipfw or pf 的方式来达到，或者是利用写到 /etc/hosts.deny 来达到 Block 的功能，网络上有很多工具可以用，例如 DenyHosts，sshguard 或者是 sshit，可以参考我之前写的一篇利用 sshit 来达到阻挡 ssh 使用者，然而今天来介绍一下 DenyHosts 再 FreeBSD 底下如何设定，还蛮方便的。
O.W8_;{_`@首先利用 ports 安装，DenyHosts 是利用 python 的程序语言写出来的：BSD爱好者乐园J7F~r]
L'tF7y
Port:   denyhosts-2.6_2
k
ZQ^*}0n'jf5lMPath:   /usr/ports/security/denyhosts
(f\0un!w @-T3@8jInfo:   Script to thwart ssh attacksBSD爱好者乐园.Cw.w5Ul7ic'a9U
Maint: janos.mohacsi@bsd.huBSD爱好者乐园J*Nxb r;wj0oa
fu(W
B-deps: python25-2.5.2_3BSD爱好者乐园i9Jt l~1n7Q1xj
R-deps: python25-2.5.2_3BSD爱好者乐园9d&eVat
W8_d
WWW:   http://denyhosts.sourceforge.net/BSD爱好者乐园,Eb"Q/s'@XX&oK-Z&[

2k~Dp+b#u\/* 利用 ports 安装 */
Eoc'k4A1leL&Acd /usr/ports/security/denyhosts; make install cleanBSD爱好者乐园MXd X7l$K
安装好之后接下来设定系统BSD爱好者乐园,vx6^;B b1N5gt~
#
OAPw-x UeF6x5_# 在 /etc/rc.conf 加入 denyhosts_enable="YES"BSD爱好者乐园1V)pU4Fr-b+M
#
`5A[M"]0`denyhosts_enable="YES"BSD爱好者乐园 `8d"n&o(s
#
@ ?[giR't xP# 编辑 /etc/hosts.allow 加入BSD爱好者乐园n7|6mi$kd
#
ii _|O9Yssshd : /etc/hosts.deniedssh : deny
2dXH%M^9vsshd : ALL : allow
7z[&g [6n#
h
_n?|[# 假如 /etc/hosts.deniedssh 不存在，那就新增一个BSD爱好者乐园j5F*Q,?*I)\
#BSD爱好者乐园 ~q1}0\*yz
touch /etc/hosts.deniedssh
v1\4E'X.HEq%Q^G2@接下来就是设定 /usr/local/etc/denyhosts.confBSD爱好者乐园2Io F7Ra
#
0]0g5xR4ww L'SW# 设定需要分析 Log 档案位置
5H4g(h4K9R
~0[/g#BSD爱好者乐园s4JR E|:O]
# FreeBSD or OpenBSD
kd\,i;|a$t nA#~SECURE_LOG = /var/log/auth.logBSD爱好者乐园}5Dy&v5e V/HS
# Redhat or Fedora Core:BSD爱好者乐园o1xh1Db
#SECURE_LOG = /var/log/secure
4W{ ol}7S# SuSE:BSD爱好者乐园sQ+W"|X
#SECURE_LOG = /var/log/messagesBSD爱好者乐园 G~9mVE#qf4XO M

,n2jdWD'j&P#
9~Z$sWZMX]# 我们要阻挡的 IP 写入到的档案BSD爱好者乐园g5^i#nFF
#BSD爱好者乐园RTyz^
? So
HOSTS_DENY = /etc/hosts.deniedsshBSD爱好者乐园9}8j)L%s`pVd1h D5K
#
a:@L0Kb6xJH# 我们要清除 hosts.deniedssh 里面的 entriesBSD爱好者乐园psy4Ve'JER
#            'm' = minutes
u"b ivg#            'h' = hoursBSD爱好者乐园,c
S(t3t^;T)z}"j-G
#            'd' = days
~zp/e3Ag#o.~A#            'w' = weeks
| ^Gr)m#            'y' = years
m&s%b:f qG%Bwf# 格式：i[dhwmy] i 是数字
[\
L%li:eFmPURGE_DENY = 5dBSD爱好者乐园;rt:oi7X
#BSD爱好者乐园;vYCyT
# 我们要阻挡的服务：sshdBSD爱好者乐园1{9U/cW:F!Je/H
#
#Q,MLp*F;TJ:{1b0k)c!rBBLOCK_SERVICE  = sshd
1Ev4C.G.b!sI C#
jK]'g"L$n# 如果该账号不存在 /etc/passwd 尝试超过5次失败，就阻挡该ip登入此服务BSD爱好者乐园$bTS%jz6_%|~B:c
#BSD爱好者乐园(p9LX5~jo'z-yR
DENY_THRESHOLD_INVALID = 5BSD爱好者乐园 l|G mZ4~,j
#
ww|*Rp.}}E/A.L# 如果该账号存在 /etc/passwd 尝试超过10次失败，就阻挡该ip登入此服务BSD爱好者乐园hl@&Y.W`RT%g']]
#BSD爱好者乐园7Fdy{Q
DENY_THRESHOLD_VALID = 10BSD爱好者乐园:{#n"IT
x8_\6vs3y~
#BSD爱好者乐园RJcv[l sKK
# 阻挡 root 账号错误登入次数，不过这对 FreeBSD 没影响BSD爱好者乐园\'_4td@#`4Z |
# 因为 FreeBSD 架设完成，是不能远程利用 root 登入的
+W\:M;FS
F9Y]DENY_THRESHOLD_ROOT = 1BSD爱好者乐园UR,X0z%^ E
#BSD爱好者乐园v@/V!]%E!ujZ
# 把 deny 的 host 或者是 ip 纪录到 Work_dir 里面BSD爱好者乐园tC/KRN+Qv4?w:r
# 尽量把这数据夹改变到 root 账号以外不能存取的地方
R#x4A6Uu_#
{ _s-g@,A B)MWORK_DIR = /usr/local/share/denyhosts/data
O7z8rFE
gS#BSD爱好者乐园ty,a/Cs1B%n
# 设定 deny host 写入到该数据夹
0H)qf-PS2?W;T$X-}#BSD爱好者乐园8Xv3H(a9S-PZn/bG
DENY_THRESHOLD_RESTRICTED = 1
y)M"^w({:N^\#
Jow`q6q# 当 DenyHOts 启动的时候写入 pid，已确保服务正确启动，防止同时启动多个服务
W3@l_~5lw MFCf#BSD爱好者乐园h!L0ak:y!i*T
LOCK_FILE = /var/run/denyhosts.pidBSD爱好者乐园
oM1L]]#s
#BSD爱好者乐园;p9`B]"UH
# 这里可以设定 denyhost 寄发 email 给管理者BSD爱好者乐园Q
n8s/y#j|.}*g+w o
#
|+yW1h$}2ws#fADMIN_EMAIL =xxxx@gmail.com
W!o-ga@
Q9DS!a~#BSD爱好者乐园? fgP*uTI:@
# 如果设定了 ADMIN_EMAIL 下面就要设定 smtp 的 hostBSD爱好者乐园8h3m:w/W+]^HO
#
K|:N$O
Hq.SSMTP_HOST = localhostBSD爱好者乐园7C%D+_SO8d
SMTP_PORT = 25BSD爱好者乐园{Q%}6d(mSj;B;a
# 发信的 header
[Vxm-Vj*f*i;k#~SMTP_FROM = DenyHosts <nobody@localhost>BSD爱好者乐园-XM:E w%b
# 发信标题BSD爱好者乐园9@#g Rmi^.N#~:c
SMTP_SUBJECT = DenyHosts Report
W-dRN!Yki#BSD爱好者乐园8cy9a'u_+j
# DenyHosts log 纪录档案BSD爱好者乐园0m$p-bM*COZ2i
#BSD爱好者乐园X;va(U:EZ1h1|'?
DAEMON_LOG = /var/log/denyhostsBSD爱好者乐园 WU0B|A:e7u_[
这样大致上完成了。BSD爱好者乐园'C$|
})Th
BSD爱好者乐园u!R1\s
@

[版权声明]BSD爱好者乐园站内文章，如来源不是互联网，则均系原创或翻译之作，可随意转载，或以此为基础进行演译，但务必以链接形式注明原始出处和作者信息，否则属于侵权行为。另对本站转载他处文章，俱有说明，如有侵权请联系本人，本人将会在第一时间删除侵权文章。
TAG: ssh 密码 破解 DenyHosts