防止SSH暴力攻擊方法之一：Denyhosts工具使用（附：誤封IP問題）

　　最近在一次登錄伺服器時，系統提示多次登錄失敗：There were xxx failed login attemps since the last successful login.

　　作為小白的我第一次遇到，雖說沒什麼損失，也藉此也學習一下應對方法。為方便以後使用，在此做簡單的整理記錄。

SSH暴力破解攻擊

　　是一種通過遍歷枚舉的用戶名（尤其是一些常用、慣用的用戶名）、密碼字典對遠程登錄設備（如：雲伺服器）進行嘗試登錄，來竊取設備許可權，以獲取非法利益的網路攻擊手段（個人見解，參考：https://cloud.tencent.com/developer/article/1159622）。

　　應對該問題有多種方法：更換ssh埠、使用安全組限制入流ip、使用fail2ban、denyhosts等工具。

　　在這裡只對本人使用Denyhosts工具的過程做描述。

Dneyhosts介紹

　　Denyhosts是一個由Linux系統管理員運行，用來阻止SSH伺服器攻擊的python腳本（參考：Denyhosts官網http://denyhosts.sourceforge.net/）。

　　在伺服器安全日誌（Centos：/var/log/secure；Ubutun：/var/log/auth.log）里，可以查看到訪問伺服器的記錄。在受到不明IP多次訪問時，我們可以通過將允許訪問的IP添加至系統白名單（/etc/hosts.allow）,或者將禁止的IP添加到黑名單（/etc/hosts.deny）,來限制訪問伺服器的IP；但是攻擊者一般都是通過不同IP對伺服器進行訪問，這樣就對阻止攻擊造成很大的麻煩。Dneyhosts就是一個自動查看分析安全日誌，將符合設定禁止條件的IP添加到/etc/hosts.deny的腳本程式。

Dneyhosts手動安裝（基於centos7系統）

一、下載denyhosts源碼

wget http://github.com/denyhosts/denyhosts/archive/v2.10.tar.gz
tar -zxvf v2.10.tar.gz

二、安裝denyhosts

cd denyhosts-2.10
python setup.py install    #註：由於denyhosts基於python2，若同時安裝了python3，請註意python運行環境

三、修改配置

 安裝完後，會在/usr/bin文件下生成daemon-control-dist 和denyhosts.py兩個文件，預設生成/etc/denyhosts.conf配置文件。

vim /etc/denyhosts.conf  #修改配置文件

 修改內容：

########################################################################
#
# SECURE_LOG: the log file that contains sshd logging info
# if you are not sure, grep "sshd:" /var/log/*
#
# The file to process can be overridden with the --file command line
# argument
# 不同系統的日誌文件名有差異
# Redhat or Fedora Core:  
SECURE_LOG = /var/log/secure   #修改日誌文件路徑指向以適合當前系統（centos7）
#
# Mandrake, FreeBSD or OpenBSD:
#SECURE_LOG = /var/log/auth.log
#
# SuSE or Gentoo:
#SECURE_LOG = /var/log/messages
#
# Mac OS X (v10.4 or greater -
#   also refer to:   http://www.denyhost.net/faq.html#macos
#SECURE_LOG = /private/var/log/asl.log
#
# Mac OS X (v10.3 or earlier):
#SECURE_LOG=/private/var/log/system.log
#
# Debian and Ubuntu
#SECURE_LOG = /var/log/auth.log
########################################################################

######################################################################
#
# LOCK_FILE
#
# LOCK_FILE=/path/denyhosts
# If this file exists when DenyHosts is run, then DenyHosts will exit
# immediately.  Otherwise, this file will be created upon invocation
# and deleted upon exit.  This ensures that only one instance is
# running at a time.
# 不同系統有差異
# Redhat/Fedora:
LOCK_FILE = /var/lock/subsys/denyhosts    #防止denyhosts多次運行，修改文件路徑以適合當前系統（centos7）
#
# Debian or Gentoo
#LOCK_FILE = /run/denyhosts.pid
#
# Misc
#LOCK_FILE = /tmp/denyhosts.lock
#
######################################################################

# format is: i[dhwmy]
# Where i is an integer (eg. 7)
# m = minutes
# h = hours
# d = days
# w = weeks
# y = years
#
# never purge:
PURGE_DENY =                   #過多久後清除已阻止IP
HOSTS_DENY = /etc/hosts.deny   #將阻止IP寫入到hosts.deny
BLOCK_SERVICE = sshd           #阻止服務名
PURGE_THRESHOLD =              #定義了某一IP最多被解封多少次。某IP暴力破解SSH密碼被阻止/解封達到了PURGE_THRESHOLD次，則會被永久禁止；
DENY_THRESHOLD_INVALID = 1     #允許無效用戶登錄失敗的次數
DENY_THRESHOLD_VALID = 10      #允許普通用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 5        #允許root登錄失敗的次數
WORK_DIR = /var/lib/denyhosts #將deny的host或ip紀錄到Work_dir中
DENY_THRESHOLD_RESTRICTED = 1 #設定 deny host 寫入到該資料夾
LOCK_FILE = /var/lock/subsys/denyhosts #將DenyHOts啟動的pid紀錄到LOCK_FILE中，已確保服務正確啟動，防止同時啟動多個服務。
HOSTNAME_LOOKUP=NO            #是否做功能變數名稱反解
ADMIN_EMAIL =                 #設置管理員郵件地址
DAEMON_LOG = /var/log/denyhosts #DenyHosts日誌位置

根據自己的需求修改配置

四、設置denyhosts服務啟動程式

 將運行主程式放在/etc/init.d/下並改名為denyhosts

cp /usr/bin/daemon-control-dist /etc/init.d/denyhosts
vim /etc/init.d/denyhosts    #修改文件匹配denyhosts配置文件

 修改內容如下：

###############################################
#### Edit these to suit your configuration ####
###############################################

DENYHOSTS_BIN   = "/usr/bin/denyhosts.py"    #安裝時denyhosts.py生成路徑
DENYHOSTS_LOCK  = "/var/lock/subsys/denyhosts"    #/etc/denyhosts.conf配置文件LOCK_FILE指定路徑
DENYHOSTS_CFG   = "/etc/denyhosts.conf"

PYTHON_BIN      = "/usr/bin/env python"

###############################################
####         Do not edit below             ####
###############################################

 至此denyhosts工具安裝完成。

 建議：在啟動denyhosts服務之前先瞭解啟動後可能帶來的問題（誤封常用的IP，詳見下文）。

 五、啟動denyhosts服務

 啟動命令

/etc/init.d/denyhosts start

 或者

service denyhosts start
service tdenyhosts status #可查看denyhosts服務是否運行（顯示"DenyHosts is running with pid = xxxx"說明啟動成功）

 加入開機啟動

chkconfig --add denyhosts
chkconfig denyhosts on

（內容參考：https://www.iteait.com/archives/659）

誤封常用IP問題

　　在啟動服務之前常常忽略一個問題，denyhosts啟動後會遍歷安全日誌文件/var/log/secure（centos系統）中所有記錄IP，只要符合配置條件的IP都會被記錄，因此，自己常用的IP也有可能被加入到系統IP黑名單（/etc/hosts.deny），導致自己也無法登錄伺服器（心態崩了呀~~~~）。

解決辦法：

啟動前：

　　從安全日誌文件里將自己常用的IP所在行刪除，刪除文件指定行命令請自行查詢（sed命令，sed -i -e '/string/d' filename，僅作參考）

啟動後（已正常無法ssh登錄伺服器）：

　　首先你需要更換網路登錄伺服器，

　　接下來就是查看被封IP所在的記錄文件並刪除：

vim /var/log/secure    #安全日誌文件
vim /etc/hosts.deny    #系統禁止IP文件

cd /var/lib/denyhosts
vim hosts
vim hosts-root
vim hosts-restricted
vim hosts-valid
vim users-invalid
vim users-hosts
#配置文件里預設的工作目錄（WORK_DIR = /var/lib/denyhosts）
#批量刪除文件包含指定內容所在行請自行查詢（sed命令）

　　如果不在意其他記錄，可清空這些文件（不推薦）

　　按照常理刪除這些記錄，系統應該就解禁了指定IP，但此時該IP還是不能訪問伺服器（why? why? why? 然後各種翻配置文件，記錄文件，查看有什麼遺漏，在配置文件里發現denyhosts有自己的日誌文件  DAEMON_LOG = /var/log/denyhosts）

 　   在denyhosts的日誌里有這樣的記錄：

2020-07-27 11:20:38,664 - denyhosts   : INFO     Creating new firewall rule /sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
2020-07-27 11:20:38,677 - denyhosts   : INFO     new denied hosts: ['xxx.xxx.xxx.xxx']

　　抱著學習的態度瞭解了一下iptables（https://wangchujiang.com/linux-command/c/iptables.html），denyhosts不僅將IP添加到了黑名單，也新添加了防火牆規則，阻止該IP數據包輸入。

　　所以除了將上述文件中的IP記錄刪除之外，還得在防火牆中刪除對該IP限制的規則：

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

　　登錄成功！

　　（歡迎在評論區交流學習，糾錯指正！）