防止SSH暴力攻擊方法之一:Denyhosts工具使用(附:誤封IP問題)

来源:https://www.cnblogs.com/wrxzzd/archive/2020/07/28/13373700.html
-Advertisement-
Play Games

最近在一次登錄伺服器時,系統提示多次登錄失敗:There were xxx failed login attemps since the last successful login. 作為小白的我第一次遇到,雖說沒什麼損失,也藉此也學習一下應對方法。為方便以後使用,在此做簡單的整理記錄。 SSH暴力 ...


  最近在一次登錄伺服器時,系統提示多次登錄失敗:There were xxx failed login attemps since the last successful login.

  作為小白的我第一次遇到,雖說沒什麼損失,也藉此也學習一下應對方法。為方便以後使用,在此做簡單的整理記錄。

SSH暴力破解攻擊

  是一種通過遍歷枚舉的用戶名(尤其是一些常用、慣用的用戶名)、密碼字典對遠程登錄設備(如:雲伺服器)進行嘗試登錄,來竊取設備許可權,以獲取非法利益的網路攻擊手段(個人見解,參考:https://cloud.tencent.com/developer/article/1159622)。

  應對該問題有多種方法:更換ssh埠、使用安全組限制入流ip、使用fail2ban、denyhosts等工具。

  在這裡只對本人使用Denyhosts工具的過程做描述。

Dneyhosts介紹

  Denyhosts是一個由Linux系統管理員運行,用來阻止SSH伺服器攻擊的python腳本(參考:Denyhosts官網http://denyhosts.sourceforge.net/)。

  在伺服器安全日誌(Centos:/var/log/secure;Ubutun:/var/log/auth.log)里,可以查看到訪問伺服器的記錄。在受到不明IP多次訪問時,我們可以通過將允許訪問的IP添加至系統白名單(/etc/hosts.allow),或者將禁止的IP添加到黑名單(/etc/hosts.deny),來限制訪問伺服器的IP;但是攻擊者一般都是通過不同IP對伺服器進行訪問,這樣就對阻止攻擊造成很大的麻煩。Dneyhosts就是一個自動查看分析安全日誌,將符合設定禁止條件的IP添加到/etc/hosts.deny的腳本程式。

Dneyhosts手動安裝(基於centos7系統)

一、下載denyhosts源碼

wget http://github.com/denyhosts/denyhosts/archive/v2.10.tar.gz
tar -zxvf v2.10.tar.gz

二、安裝denyhosts

cd denyhosts-2.10
python setup.py install    #註:由於denyhosts基於python2,若同時安裝了python3,請註意python運行環境

三、修改配置

 安裝完後,會在/usr/bin文件下生成daemon-control-dist denyhosts.py兩個文件,預設生成/etc/denyhosts.conf配置文件。

vim /etc/denyhosts.conf  #修改配置文件

 修改內容:

########################################################################
#
# SECURE_LOG: the log file that contains sshd logging info
# if you are not sure, grep "sshd:" /var/log/*
#
# The file to process can be overridden with the --file command line
# argument
# 不同系統的日誌文件名有差異
# Redhat or Fedora Core:  
SECURE_LOG = /var/log/secure   #修改日誌文件路徑指向以適合當前系統(centos7)
#
# Mandrake, FreeBSD or OpenBSD:
#SECURE_LOG = /var/log/auth.log
#
# SuSE or Gentoo:
#SECURE_LOG = /var/log/messages
#
# Mac OS X (v10.4 or greater -
#   also refer to:   http://www.denyhost.net/faq.html#macos
#SECURE_LOG = /private/var/log/asl.log
#
# Mac OS X (v10.3 or earlier):
#SECURE_LOG=/private/var/log/system.log
#
# Debian and Ubuntu
#SECURE_LOG = /var/log/auth.log
########################################################################
######################################################################
#
# LOCK_FILE
#
# LOCK_FILE=/path/denyhosts
# If this file exists when DenyHosts is run, then DenyHosts will exit
# immediately.  Otherwise, this file will be created upon invocation
# and deleted upon exit.  This ensures that only one instance is
# running at a time.
# 不同系統有差異
# Redhat/Fedora:
LOCK_FILE = /var/lock/subsys/denyhosts    #防止denyhosts多次運行,修改文件路徑以適合當前系統(centos7)
#
# Debian or Gentoo
#LOCK_FILE = /run/denyhosts.pid
#
# Misc
#LOCK_FILE = /tmp/denyhosts.lock
#
######################################################################
# format is: i[dhwmy]
# Where i is an integer (eg. 7)
# m = minutes
# h = hours
# d = days
# w = weeks
# y = years
#
# never purge:
PURGE_DENY =                   #過多久後清除已阻止IP
HOSTS_DENY = /etc/hosts.deny   #將阻止IP寫入到hosts.deny
BLOCK_SERVICE = sshd           #阻止服務名
PURGE_THRESHOLD =              #定義了某一IP最多被解封多少次。某IP暴力破解SSH密碼被阻止/解封達到了PURGE_THRESHOLD次,則會被永久禁止;
DENY_THRESHOLD_INVALID = 1     #允許無效用戶登錄失敗的次數
DENY_THRESHOLD_VALID = 10      #允許普通用戶登錄失敗的次數
DENY_THRESHOLD_ROOT = 5        #允許root登錄失敗的次數
WORK_DIR = /var/lib/denyhosts #將deny的host或ip紀錄到Work_dir中
DENY_THRESHOLD_RESTRICTED = 1 #設定 deny host 寫入到該資料夾
LOCK_FILE = /var/lock/subsys/denyhosts #將DenyHOts啟動的pid紀錄到LOCK_FILE中,已確保服務正確啟動,防止同時啟動多個服務。
HOSTNAME_LOOKUP=NO            #是否做功能變數名稱反解
ADMIN_EMAIL =                 #設置管理員郵件地址
DAEMON_LOG = /var/log/denyhosts #DenyHosts日誌位置

根據自己的需求修改配置

四、設置denyhosts服務啟動程式

 將運行主程式放在/etc/init.d/下並改名為denyhosts

cp /usr/bin/daemon-control-dist /etc/init.d/denyhosts
vim /etc/init.d/denyhosts    #修改文件匹配denyhosts配置文件

 修改內容如下:

###############################################
#### Edit these to suit your configuration ####
###############################################

DENYHOSTS_BIN   = "/usr/bin/denyhosts.py"    #安裝時denyhosts.py生成路徑
DENYHOSTS_LOCK  = "/var/lock/subsys/denyhosts"    #/etc/denyhosts.conf配置文件LOCK_FILE指定路徑
DENYHOSTS_CFG   = "/etc/denyhosts.conf"

PYTHON_BIN      = "/usr/bin/env python"

###############################################
####         Do not edit below             ####
###############################################

 至此denyhosts工具安裝完成。

 建議:在啟動denyhosts服務之前先瞭解啟動後可能帶來的問題(誤封常用的IP,詳見下文)。

 五、啟動denyhosts服務

 啟動命令

/etc/init.d/denyhosts start

 或者

service denyhosts start
service tdenyhosts status #可查看denyhosts服務是否運行(顯示"DenyHosts is running with pid = xxxx"說明啟動成功)

 加入開機啟動

chkconfig --add denyhosts
chkconfig denyhosts on

(內容參考:https://www.iteait.com/archives/659

誤封常用IP問題

  在啟動服務之前常常忽略一個問題,denyhosts啟動後會遍歷安全日誌文件/var/log/secure(centos系統)中所有記錄IP,只要符合配置條件的IP都會被記錄,因此,自己常用的IP也有可能被加入到系統IP黑名單(/etc/hosts.deny),導致自己也無法登錄伺服器(心態崩了呀~~~~)。

解決辦法:

啟動前:

  從安全日誌文件里將自己常用的IP所在行刪除,刪除文件指定行命令請自行查詢(sed命令,sed -i -e '/string/d' filename,僅作參考)

啟動後(已正常無法ssh登錄伺服器):

  首先你需要更換網路登錄伺服器,

  接下來就是查看被封IP所在的記錄文件並刪除:

vim /var/log/secure    #安全日誌文件
vim /etc/hosts.deny    #系統禁止IP文件
cd /var/lib/denyhosts
vim hosts
vim hosts-root
vim hosts-restricted
vim hosts-valid
vim users-invalid
vim users-hosts
#配置文件里預設的工作目錄(WORK_DIR = /var/lib/denyhosts)
#批量刪除文件包含指定內容所在行請自行查詢(sed命令)

  如果不在意其他記錄,可清空這些文件(不推薦)

  按照常理刪除這些記錄,系統應該就解禁了指定IP,但此時該IP還是不能訪問伺服器(why? why? why? 然後各種翻配置文件,記錄文件,查看有什麼遺漏,在配置文件里發現denyhosts有自己的日誌文件  DAEMON_LOG = /var/log/denyhosts)

     在denyhosts的日誌里有這樣的記錄:

2020-07-27 11:20:38,664 - denyhosts   : INFO     Creating new firewall rule /sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
2020-07-27 11:20:38,677 - denyhosts   : INFO     new denied hosts: ['xxx.xxx.xxx.xxx']

  抱著學習的態度瞭解了一下iptables(https://wangchujiang.com/linux-command/c/iptables.html),denyhosts不僅將IP添加到了黑名單,也新添加了防火牆規則,阻止該IP數據包輸入。

  所以除了將上述文件中的IP記錄刪除之外,還得在防火牆中刪除對該IP限制的規則:

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

  登錄成功!

  (歡迎在評論區交流學習,糾錯指正!)


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一.思路邏輯: 首先我先來說一下我自己的理解,一個萌新的見解,要實現購物車的功能,首先要獲取到登錄時的用戶id及商品的編號(商品id),這裡我用的模式是mvc模式進行實現功能的,用戶登錄時,利用session保存用戶的登錄用戶名,然後在控制器里進行傳值操作,定義一個session進行接收用戶輸入的用 ...
  • 本部分內容對應視頻鏈接。 熟悉我的朋友應該知道,我本科及碩士期間所學的專業都是機械相關,畢業兩年之後才從零開始自學轉行成為一名程式員。當時我寫了一篇文章,介紹我的轉行經歷,很多小伙伴因為我的這篇文章,備受鼓舞,給自己增加了很多信心,也靠這篇文章給自己加油打氣最終轉行成功。 我的文章能夠幫到那麼多人, ...
  • 在CentOS 7上將主機埠與容器埠映射時可能遇到無法訪問容器服務的問題,涉及到firewalld的配置。 ...
  • 系統環境: centos 7 git:gitee.com 當然隨便一個git服務端都行 jenkins: lts版本,部署在伺服器上,沒有通過部署在k8s集群中 harbor: offline版本,用來存儲docker鏡像 Kubernetes 集群為了方便快捷,使用了kubeadm方式搭建,是三台 ...
  • SRAM是可在任何CMOS工藝中“免費獲得”的存儲器。自CMOS誕生以來,SRAM一直是任何新CMOS工藝的開發和生產製造的技術驅動力。利用最新的所謂的“深度學習領域專用域結構”(DSA),每個晶元上的SRAM數量已達到數百兆位。這導致了兩個具體挑戰。接下來由專註於代理銷售SRAM、SDRAM、MR ...
  • 保證bios和網卡支持WOL喚醒,並關閉低功耗模式 此命令僅在Ubuntu20.04LTS上測試通過,其餘發行版同理,請自測 參考鏈接 https://www.techrepublic.com/article/how-to-enable-wake-on-lan-in-ubuntu-server-18 ...
  • [伺服器]SSL安裝證書教程 來自阿裡雲教程 Tomcat伺服器安裝SSL證書 安裝PFX格式證書 https://help.aliyun.com/document_detail/98576.html?spm=a2c4g.11186623.6.569.38e320c60poQbT 安裝JKS格式證書 ...
  • 你是否還在為 git pull/push 失敗而煩惱?本文提供的這個小工具幫你搞定不穩定的網路! ...
一周排行
    -Advertisement-
    Play Games
  • Timer是什麼 Timer 是一種用於創建定期粒度行為的機制。 與標準的 .NET System.Threading.Timer 類相似,Orleans 的 Timer 允許在一段時間後執行特定的操作,或者在特定的時間間隔內重覆執行操作。 它在分散式系統中具有重要作用,特別是在處理需要周期性執行的 ...
  • 前言 相信很多做WPF開發的小伙伴都遇到過表格類的需求,雖然現有的Grid控制項也能實現,但是使用起來的體驗感並不好,比如要實現一個Excel中的表格效果,估計你能想到的第一個方法就是套Border控制項,用這種方法你需要控制每個Border的邊框,並且在一堆Bordr中找到Grid.Row,Grid. ...
  • .NET C#程式啟動閃退,目錄導致的問題 這是第2次踩這個坑了,很小的編程細節,容易忽略,所以寫個博客,分享給大家。 1.第一次坑:是windows 系統把程式運行成服務,找不到配置文件,原因是以服務運行它的工作目錄是在C:\Windows\System32 2.本次坑:WPF桌面程式通過註冊表設 ...
  • 在分散式系統中,數據的持久化是至關重要的一環。 Orleans 7 引入了強大的持久化功能,使得在分散式環境下管理數據變得更加輕鬆和可靠。 本文將介紹什麼是 Orleans 7 的持久化,如何設置它以及相應的代碼示例。 什麼是 Orleans 7 的持久化? Orleans 7 的持久化是指將 Or ...
  • 前言 .NET Feature Management 是一個用於管理應用程式功能的庫,它可以幫助開發人員在應用程式中輕鬆地添加、移除和管理功能。使用 Feature Management,開發人員可以根據不同用戶、環境或其他條件來動態地控制應用程式中的功能。這使得開發人員可以更靈活地管理應用程式的功 ...
  • 在 WPF 應用程式中,拖放操作是實現用戶交互的重要組成部分。通過拖放操作,用戶可以輕鬆地將數據從一個位置移動到另一個位置,或者將控制項從一個容器移動到另一個容器。然而,WPF 中預設的拖放操作可能並不是那麼好用。為瞭解決這個問題,我們可以自定義一個 Panel 來實現更簡單的拖拽操作。 自定義 Pa ...
  • 在實際使用中,由於涉及到不同編程語言之間互相調用,導致C++ 中的OpenCV與C#中的OpenCvSharp 圖像數據在不同編程語言之間難以有效傳遞。在本文中我們將結合OpenCvSharp源碼實現原理,探究兩種數據之間的通信方式。 ...
  • 一、前言 這是一篇搭建許可權管理系統的系列文章。 隨著網路的發展,信息安全對應任何企業來說都越發的重要,而本系列文章將和大家一起一步一步搭建一個全新的許可權管理系統。 說明:由於搭建一個全新的項目過於繁瑣,所有作者將挑選核心代碼和核心思路進行分享。 二、技術選擇 三、開始設計 1、自主搭建vue前端和. ...
  • Csharper中的表達式樹 這節課來瞭解一下表示式樹是什麼? 在C#中,表達式樹是一種數據結構,它可以表示一些代碼塊,如Lambda表達式或查詢表達式。表達式樹使你能夠查看和操作數據,就像你可以查看和操作代碼一樣。它們通常用於創建動態查詢和解析表達式。 一、認識表達式樹 為什麼要這樣說?它和委托有 ...
  • 在使用Django等框架來操作MySQL時,實際上底層還是通過Python來操作的,首先需要安裝一個驅動程式,在Python3中,驅動程式有多種選擇,比如有pymysql以及mysqlclient等。使用pip命令安裝mysqlclient失敗應如何解決? 安裝的python版本說明 機器同時安裝了 ...