DenyHosts介绍

DenyHosts是一个python脚本帮助阻止SSH攻击（基于字典或暴力的密码攻击），它的原理很简单：通过分析系统安全日志（/var/log/secure）中的无效登录者的IP和无效登录次数与用户设置的阈值进行比较，如果尝试次数超过用户设置的阈值则将该IP加入/etc/hosts.deny，实现将其封锁。

DenyHosts版本与分支

DenyHosts最早由Phil Schwartz开发，并在2.6版本之后停止发布更新，之后由Matt Ruffalo在Github继续开发。笔者编写本文时，已经预发行了3.1beta版，该版本支持python的任意版本，本次部署将使用此版本。如果你的python版本较低（2.7及以下），请使用DenyHosts 2.10。

本次部署环境及版本

• Centos 7.7
• DenyHosts 2.10
• python 2.7.5

下载并安装DenyHosts

yum install python-ipaddr #安装依赖
wget https://github.com/denyhosts/denyhosts/archive/refs/tags/v2.10.tar.gz
tar zxf v2.10.tar.gz -C /usr/local/
cd /usr/local/denyhosts/
python setup.py install
cp denyhosts.conf /etc/

denyhosts配置文件在/etc/denyhosts.conf，配置文件中必须要改的是SECURE_LOG的位置，默认启用的是“Debian and Ubuntu”的SECURE_LOG位置。

denyhosts.conf重新指定SECURE_LOG的位置

vi /etc/denyhosts.conf
将`SECURE_LOG = /var/log/auth.log`这一行前面加 #号注释掉
将`SECURE_LOG = /var/log/secure`这一行前面的 #号去掉

其余的配置可以参考下面的注解按需配置：

denyhosts.conf主要配置解读

SECURE_LOG = /var/log/secure   #系统安全日志，保持默认即可
PURGE_DENY = 60d               #解封黑名单中的IP的周期
HOSTS_DENY = /etc/hosts.deny   #指定hosts.deny的位置
BLOCK_SERVICE = sshd           #阻止的服务名称
PURGE_THRESHOLD = 5            #设定解封次数，超过之后永久禁止；
DENY_THRESHOLD_INVALID = 1     #允许无效的用户登录失败次数
DENY_THRESHOLD_VALID = 5       #允许正常用户的登录失败次数
DENY_THRESHOLD_ROOT = 5        #允许root登录失败次数
WORK_DIR = /usr/local/denyhosts/data #指定工作目录，保存封锁的IP
LOCK_FILE = /var/lock/subsys/denyhosts #文件锁，防止启动多个进程 
HOSTNAME_LOOKUP=NO             #是否解析主机名（占用网络资源）
ADMIN_EMAIL =   #设置报警邮箱，配合SMTP设置可实现邮件报警，默认是给root发信。
DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置

创建服务脚本，设置开机启动

这里要提前强调一点，DenyHosts启动后会读取/var/log/secure中的SSH登录日志，将符合封锁条件的IP加入/etc/hosts.deny文件中，并在/usr/local/denyhosts/data工作目录中保存，届时删除黑名单中的IP会略微麻烦（你办公网的IP很可能也有过登录失败记录）。笔者建议在启动DenyHosts前先清理一下系统安全日志：

/var/log/secure
rm -rf /var/log/secure-*

然后创建服务脚本，设置开机启动

cp daemon-control-dist daemon-control
vi daemon-control
将
DENYHOSTS_BIN   = "/usr/sbin/denyhosts"
改成：
DENYHOSTS_BIN   = "/usr/local/denyhosts/denyhosts.py"

chown root daemon-control
chmod 700 daemon-control
ln -s /usr/local/denyhosts/daemon-control /etc/init.d/denyhosts
systemctl daemon-reload    #重载systemd配置
systemctl start denyhosts  #启动denyhosts
systemctl enable denyhosts #设置开机启动denyhosts

如果没有报错，此时denyhosts已经启动，使用systemctl status denyhosts可以查看运行状态，如果服务器是公网IP且ssh端口正常开放，可以tailf /etc/hosts.deny，很快就会看到猜测密码的IP被封锁进来。

转载自：https://blog.lzys.cc/p/2140269.html