虚拟化容器,大数据,DBA,中间件,监控。

Linux VPS安装DenyHosts自动屏蔽阻止SSH端口可疑扫描IP地址

22 11月
作者:admin|分类:系统运维

最为基础的就是我们设置的SSH端口和密码不能用默认的且需要经常的修改和使用较为复杂的密码。因为有些SSH端口扫描软件会自动的进行扫描,

如果我们的端口和口令比较弱,可能就直接被中标。在解决这些问题的时候,我们可以用到一些监控软件进行控制,如果有来自某个可疑IP的扫描,我们可以手工进行屏蔽。

但是,最好的方法肯定是用到DenyHosts进行自动屏蔽。在这篇文章中,老蒋将会整理与大家一起学习如何安装DenyHosts设置自动的可疑IP扫描SSH端自动屏蔽。

第一、DenyHosts安装以及工作原理

wget http://soft.itbulu.com/tools/DenyHosts-2.6.tar.gz

tar -zxvf DenyHosts-2.6.tar.gz

cd DenyHosts-2.6

登录当前VPS主机SSH之后,我们进行上述的下载和进入DenyHosts配置目录。其实DenyHosts工具的功能就是自动的将分析日志可疑的重复的IP地址,然后进行自动添加到/etc/hosts.deny进行屏蔽。

第二、配置和安装DenyHosts

echo "" > /var/log/secure && service rsyslog restart

在执行安装之前,我们需要先清空/var/log/secure文件,重启日志,这样确保后面的文件是新的。

#安装

python setup.py install
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
cp daemon-control-dist daemon-control

#启动

chown root daemon-control
chmod 700 daemon-control
./daemon-control start

#自动启动设置

ln -sf /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
chkconfig --add denyhosts
chkconfig --level 2345 denyhosts on

#我们也可以设置开机启动

echo "/usr/share/denyhosts/daemon-control start" >> /etc/rc.local

第三、DenyHosts配置说明

我们在设置DenyHosts的时候,如果我们看不明白那就自动系统设置,如果想自定义设置/usr/share/denyhosts/denyhosts.cfg。

Linux VPS安装DenyHosts自动屏蔽阻止SSH端口可疑扫描IP地址

以上的截图只是部分界面,我们需要看里面的配置参数。

#多久接触禁止5M(分钟)
PURGE_DENY = 5m
#禁止的服务名
BLOCK_SERVICE  = sshd
#允许无效用户登录失败次数
DENY_THRESHOLD_INVALID = 5
#允许普通用户登陆失败次数
DENY_THRESHOLD_VALID = 10
#允许root登陆失败的次数
DENY_THRESHOLD_ROOT = 5

第四、白名单设置

因为有些时候我们本地自己的登录次数激发屏蔽,我们自己也被限制,那如何设置自己的白名单和解除限制呢?

echo "我们自己的IP" >>  /usr/share/denyhosts/allowed-hosts

这样进行设置白名单。设置之后我们再执行/etc/init.d/denyhosts重启生效。

总之,DenyHosts使用的前提是我们自己的VPS/服务器的端口和密码要进行加强修改,基础的保障之后这些再用上会更加安全一点。有些时候我们端口和密码设置复杂且经常变化,都不需要使用这些工具。
浏览2201 评论0
返回
目录
返回
首页
LNMP网站环境一键部署及eAccelerator、xcache、ionCube组件安装 HAproxy 1.5 中使用 SSL 证书