防止SSH暴力攻擊方法之一:Denyhosts工具使用(附:誤封IP問題)

来源:https://www.cnblogs.com/wrxzzd/archive/2020/07/28/13373700.html

最近在一次登錄伺服器時,系統提示多次登錄失敗:There were xxx failed login attemps since the last successful login. 作為小白的我第一次遇到,雖說沒什麼損失,也藉此也學習一下應對方法。為方便以後使用,在此做簡單的整理記錄。 SSH暴力 ...


  最近在一次登錄伺服器時,系統提示多次登錄失敗:There were xxx failed login attemps since the last successful login.

  作為小白的我第一次遇到,雖說沒什麼損失,也藉此也學習一下應對方法。為方便以後使用,在此做簡單的整理記錄。

SSH暴力破解攻擊

  是一種通過遍歷枚舉的用戶名(尤其是一些常用、慣用的用戶名)、密碼字典對遠程登錄設備(如:雲伺服器)進行嘗試登錄,來竊取設備許可權,以獲取非法利益的網路攻擊手段(個人見解,參考:https://cloud.tencent.com/developer/article/1159622)。

  應對該問題有多種方法:更換ssh埠、使用安全組限制入流ip、使用fail2ban、denyhosts等工具。

  在這裡只對本人使用Denyhosts工具的過程做描述。

Dneyhosts介紹

  Denyhosts是一個由Linux系統管理員運行,用來阻止SSH伺服器攻擊的python腳本(參考:Denyhosts官網http://denyhosts.sourceforge.net/)。

  在伺服器安全日誌(Centos:/var/log/secure;Ubutun:/var/log/auth.log)里,可以查看到訪問伺服器的記錄。在受到不明IP多次訪問時,我們可以通過將允許訪問的IP添加至系統白名單(/etc/hosts.allow),或者將禁止的IP添加到黑名單(/etc/hosts.deny),來限制訪問伺服器的IP;但是攻擊者一般都是通過不同IP對伺服器進行訪問,這樣就對阻止攻擊造成很大的麻煩。Dneyhosts就是一個自動查看分析安全日誌,將符合設定禁止條件的IP添加到/etc/hosts.deny的腳本程式。

Dneyhosts手動安裝(基於centos7系統)

一、下載denyhosts源碼

wget http://github.com/denyhosts/denyhosts/archive/v2.10.tar.gz
tar -zxvf v2.10.tar.gz

二、安裝denyhosts

cd denyhosts-2.10
python setup.py install    #註:由於denyhosts基於python2,若同時安裝了python3,請註意python運行環境

三、修改配置

 安裝完後,會在/usr/bin文件下生成daemon-control-dist denyhosts.py兩個文件,預設生成/etc/denyhosts.conf配置文件。

vim /etc/denyhosts.conf  #修改配置文件

 修改內容:

########################################################################
#
# SECURE_LOG: the log file that contains sshd logging info
# if you are not sure, grep "sshd:" /var/log/*
#
# The file to process can be overridden with the --file command line
# argument
# 不同系統的日誌文件名有差異
# Redhat or Fedora Core:  
SECURE_LOG = /var/log/secure   #修改日誌文件路徑指向以適合當前系統(centos7)
#
# Mandrake, FreeBSD or OpenBSD:
#SECURE_LOG = /var/log/auth.log
#
# SuSE or Gentoo:
#SECURE_LOG = /var/log/messages
#
# Mac OS X (v10.4 or greater -
#   also refer to:   http://www.denyhost.net/faq.html#macos
#SECURE_LOG = /private/var/log/asl.log
#
# Mac OS X (v10.3 or earlier):
#SECURE_LOG=/private/var/log/system.log
#
# Debian and Ubuntu
#SECURE_LOG = /var/log/auth.log
########################################################################
######################################################################
#
# LOCK_FILE
#
# LOCK_FILE=/path/denyhosts
# If this file exists when DenyHosts is run, then DenyHosts will exit
# immediately.  Otherwise, this file will be created upon invocation
# and deleted upon exit.  This ensures that only one instance is
# running at a time.
# 不同系統有差異
# Redhat/Fedora:
LOCK_FILE = /var/lock/subsys/denyhosts    #防止denyhosts多次運行,修改文件路徑以適合當前系統(centos7)
#
# Debian or Gentoo
#LOCK_FILE = /run/denyhosts.pid
#
# Misc
#LOCK_FILE = /tmp/denyhosts.lock
#
######################################################################
# format is: i[dhwmy]
# Where i is an integer (eg. 7)
# m = minutes
# h = hours
# d = days
# w = weeks
# y = years
#
# never purge:
PURGE_DENY =                   #過多久後清除已阻止IP
HOSTS_DENY = /etc/hosts.deny   #將阻止IP寫入到hosts.deny
BLOCK_SERVICE = sshd           #阻止服務名
PURGE_THRESHOLD =              #定義了某一IP最多被解封多少次。某IP暴力破解SSH密碼被阻止/解封達到了PURGE_THRESHOLD次,則會被永久禁止;
DENY_THRESHOLD_INVALID = 1     #允許無效用戶登錄失敗的次數
DENY_THRESHOLD_VALID = 10      #允許普通用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 5        #允許root登錄失敗的次數
WORK_DIR = /var/lib/denyhosts #將deny的host或ip紀錄到Work_dir中
DENY_THRESHOLD_RESTRICTED = 1 #設定 deny host 寫入到該資料夾
LOCK_FILE = /var/lock/subsys/denyhosts #將DenyHOts啟動的pid紀錄到LOCK_FILE中,已確保服務正確啟動,防止同時啟動多個服務。
HOSTNAME_LOOKUP=NO            #是否做功能變數名稱反解
ADMIN_EMAIL =                 #設置管理員郵件地址
DAEMON_LOG = /var/log/denyhosts #DenyHosts日誌位置

根據自己的需求修改配置

四、設置denyhosts服務啟動程式

 將運行主程式放在/etc/init.d/下並改名為denyhosts

cp /usr/bin/daemon-control-dist /etc/init.d/denyhosts
vim /etc/init.d/denyhosts    #修改文件匹配denyhosts配置文件

 修改內容如下:

###############################################
#### Edit these to suit your configuration ####
###############################################

DENYHOSTS_BIN   = "/usr/bin/denyhosts.py"    #安裝時denyhosts.py生成路徑
DENYHOSTS_LOCK  = "/var/lock/subsys/denyhosts"    #/etc/denyhosts.conf配置文件LOCK_FILE指定路徑
DENYHOSTS_CFG   = "/etc/denyhosts.conf"

PYTHON_BIN      = "/usr/bin/env python"

###############################################
####         Do not edit below             ####
###############################################

 至此denyhosts工具安裝完成。

 建議:在啟動denyhosts服務之前先瞭解啟動後可能帶來的問題(誤封常用的IP,詳見下文)。

 五、啟動denyhosts服務

 啟動命令

/etc/init.d/denyhosts start

 或者

service denyhosts start
service tdenyhosts status #可查看denyhosts服務是否運行(顯示"DenyHosts is running with pid = xxxx"說明啟動成功)

 加入開機啟動

chkconfig --add denyhosts
chkconfig denyhosts on

(內容參考:https://www.iteait.com/archives/659

誤封常用IP問題

  在啟動服務之前常常忽略一個問題,denyhosts啟動後會遍歷安全日誌文件/var/log/secure(centos系統)中所有記錄IP,只要符合配置條件的IP都會被記錄,因此,自己常用的IP也有可能被加入到系統IP黑名單(/etc/hosts.deny),導致自己也無法登錄伺服器(心態崩了呀~~~~)。

解決辦法:

啟動前:

  從安全日誌文件里將自己常用的IP所在行刪除,刪除文件指定行命令請自行查詢(sed命令,sed -i -e '/string/d' filename,僅作參考)

啟動後(已正常無法ssh登錄伺服器):

  首先你需要更換網路登錄伺服器,

  接下來就是查看被封IP所在的記錄文件並刪除:

vim /var/log/secure    #安全日誌文件
vim /etc/hosts.deny    #系統禁止IP文件
cd /var/lib/denyhosts
vim hosts
vim hosts-root
vim hosts-restricted
vim hosts-valid
vim users-invalid
vim users-hosts
#配置文件里預設的工作目錄(WORK_DIR = /var/lib/denyhosts)
#批量刪除文件包含指定內容所在行請自行查詢(sed命令)

  如果不在意其他記錄,可清空這些文件(不推薦)

  按照常理刪除這些記錄,系統應該就解禁了指定IP,但此時該IP還是不能訪問伺服器(why? why? why? 然後各種翻配置文件,記錄文件,查看有什麼遺漏,在配置文件里發現denyhosts有自己的日誌文件  DAEMON_LOG = /var/log/denyhosts)

     在denyhosts的日誌里有這樣的記錄:

2020-07-27 11:20:38,664 - denyhosts   : INFO     Creating new firewall rule /sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
2020-07-27 11:20:38,677 - denyhosts   : INFO     new denied hosts: ['xxx.xxx.xxx.xxx']

  抱著學習的態度瞭解了一下iptables(https://wangchujiang.com/linux-command/c/iptables.html),denyhosts不僅將IP添加到了黑名單,也新添加了防火牆規則,阻止該IP數據包輸入。

  所以除了將上述文件中的IP記錄刪除之外,還得在防火牆中刪除對該IP限制的規則:

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

  登錄成功!

  (歡迎在評論區交流學習,糾錯指正!)


您的分享是我們最大的動力!

更多相關文章
  • 一.思路邏輯: 首先我先來說一下我自己的理解,一個萌新的見解,要實現購物車的功能,首先要獲取到登錄時的用戶id及商品的編號(商品id),這裡我用的模式是mvc模式進行實現功能的,用戶登錄時,利用session保存用戶的登錄用戶名,然後在控制器里進行傳值操作,定義一個session進行接收用戶輸入的用 ...
  • 本部分內容對應視頻鏈接。 熟悉我的朋友應該知道,我本科及碩士期間所學的專業都是機械相關,畢業兩年之後才從零開始自學轉行成為一名程式員。當時我寫了一篇文章,介紹我的轉行經歷,很多小伙伴因為我的這篇文章,備受鼓舞,給自己增加了很多信心,也靠這篇文章給自己加油打氣最終轉行成功。 我的文章能夠幫到那麼多人, ...
  • 在CentOS 7上將主機埠與容器埠映射時可能遇到無法訪問容器服務的問題,涉及到firewalld的配置。 ...
  • 系統環境: centos 7 git:gitee.com 當然隨便一個git服務端都行 jenkins: lts版本,部署在伺服器上,沒有通過部署在k8s集群中 harbor: offline版本,用來存儲docker鏡像 Kubernetes 集群為了方便快捷,使用了kubeadm方式搭建,是三台 ...
  • SRAM是可在任何CMOS工藝中“免費獲得”的存儲器。自CMOS誕生以來,SRAM一直是任何新CMOS工藝的開發和生產製造的技術驅動力。利用最新的所謂的“深度學習領域專用域結構”(DSA),每個晶元上的SRAM數量已達到數百兆位。這導致了兩個具體挑戰。接下來由專註於代理銷售SRAM、SDRAM、MR ...
  • 保證bios和網卡支持WOL喚醒,並關閉低功耗模式 此命令僅在Ubuntu20.04LTS上測試通過,其餘發行版同理,請自測 參考鏈接 https://www.techrepublic.com/article/how-to-enable-wake-on-lan-in-ubuntu-server-18 ...
  • [伺服器]SSL安裝證書教程 來自阿裡雲教程 Tomcat伺服器安裝SSL證書 安裝PFX格式證書 https://help.aliyun.com/document_detail/98576.html?spm=a2c4g.11186623.6.569.38e320c60poQbT 安裝JKS格式證書 ...
  • 你是否還在為 git pull/push 失敗而煩惱?本文提供的這個小工具幫你搞定不穩定的網路! ...
一周排行
  • 比如要拆分“呵呵呵90909086676喝喝999”,下麵當type=0返回的是中文字元串“呵呵呵,喝喝”,type=1返回的是數字字元串“90909086676,999”, private string GetStrings(string str,int type=0) { IList<strin ...
  • Swagger一個優秀的Api介面文檔生成工具。Swagger可以可以動態生成Api介面文檔,有效的降低前後端人員關於Api介面的溝通成本,促進項目高效開發。 1、使用NuGet安裝最新的包:Swashbuckle.AspNetCore。 2、編輯項目文件(NetCoreTemplate.Web.c ...
  • 2020 年 7 月 30 日, 由.NET基金會和微軟 將舉辦一個線上和為期一天的活動,包括 微軟 .NET 團隊的演講者以及社區的演講者。本次線上大會 專註.NET框架構建微服務,演講者分享構建和部署雲原生應用程式的最佳實踐、模式、提示和技巧。有關更多信息和隨時瞭解情況:https://focu... ...
  • #abp框架Excel導出——基於vue #1.技術棧 ##1.1 前端採用vue,官方提供 UI套件用的是iview ##1.2 後臺是abp——aspnetboilerplate 即abp v1,https://github.com/aspnetboilerplate/aspnetboilerp ...
  • 前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:碧茂大數據 PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取 input()輸入 Python提供了 input() 內置函數從標準輸入讀入一 ...
  • 從12年到20年,python以肉眼可見的趨勢超過了java,成為了當今It界人人皆知的編程語言。 python為什麼這麼火? 網路編程語言搜索指數 適合初學者 Python具有語法簡單、語句清晰的特點,這就讓初學者在學習階段可以把精力集中在編程對象和思維方法上。 大佬都在用 Google,YouT ...
  • 在社會上存在一種普遍的對培訓機構的學生一種歧視的現象,具體表現在,比如:當你去公司面試的時候,一旦你說了你是培訓機構出來的,那麼基本上你就涼了,那麼你瞞著不說,然後又通過了面試成功入職,但是以後一旦在公司被髮現有培訓經歷,可能會面臨被降薪,甚至被辭退,培訓機構出來的學生,在用人單位眼裡就是能力低下的 ...
  • from typing import List# 這道題看了大佬寫的代碼,經過自己的理解寫出來了。# 從最外圍的四周找有沒有為O的,如果有的話就進入深搜函數,然後深搜遍歷# 判斷上下左右的位置是否為Oclass Solution: def solve(self, board: List[List[s ...
  • import requests; import re; import os; # 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, li ...
  • import requests; import re; import os; import parsel; 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537. ...