거부 호스트 오픈 소스 및 무료 로그 기반 침입 방지 보안 프로그램입니다. SSH 에서 개발된 서버 파이썬 언어 필 슈워츠. 잘못된 로그인 시도, 사전 기반 공격 및 무차별 대입 공격에 대한 SSH 서버 로그를 모니터링하고 분석하기 위한 것입니다. IP 항목을 추가하여 주소 /etc/hosts.deny 파일을 서버에 저장하고 IP 주소가 더 이상 이러한 로그인 시도를 하지 못하도록 합니다.
거부 호스트 특히 우리가 허용할 때 모든 Linux 기반 시스템에 매우 필요한 도구입니다. 비밀번호 기반 SSH 로그인. 이 기사에서는 설치 및 구성 방법을 보여 드리겠습니다. 거부 호스트 ~에 RHEL 6.3/6.2/6.1/6/5.8, 센트OS 6.3/6.2/6.1/6/5.8 그리고 페도라 17,16,15,14,13,12 epel 저장소를 사용하는 시스템.
또한보십시오 :
기본적으로 거부 호스트 이 도구는 Linux 시스템에 포함되어 있지 않으므로 타사를 사용하여 설치해야 합니다. EPEL 저장소. 저장소가 추가되면 다음을 사용하여 패키지를 설치하십시오. 냠 명령.
# yum --enablerepo=epel 설치 거부 호스트. 또는. # yum 설치 거부 호스트
일단 거부 호스트 설치, 자신의 화이트리스트에 있는지 확인 IP 주소를 입력해야 잠기지 않습니다. 이렇게 하려면 파일을 엽니다. /etc/hosts.allow.
# vi /etc/hosts.allow
설명 아래에 각각 추가 IP 주소 차단하고 싶지 않은 별도의 줄에 하나씩. 형식은 다음과 같아야 합니다.
# # hosts.allow 이 파일에는 사용되는 액세스 규칙이 포함되어 있습니다. # 네트워크 서비스에 대한 연결을 허용하거나 거부합니다. # tcp_wrappers 라이브러리를 사용하거나 사용 중입니다. # tcp_wrappers가 활성화된 xinetd를 통해 시작되었습니다. # # 'man 5 hosts_options' 및 'man 5 hosts_access' 참조 # 규칙 구문에 대한 정보입니다. # tcp_wrappers에 대한 정보는 'man tcpd'를 참조하십시오. #SSHD: 172.16.25.125SSHD: 172.16.25.126SSHD: 172.16.25.127
기본 구성 파일은 다음 위치에 있습니다. /etc/denyhosts.conf. 이 파일은 의심스러운 로그인 및 제한된 호스트에 대한 이메일 경고를 보내는 데 사용됩니다. 다음을 사용하여 이 파일을 엽니다. VI 편집자.
# vi /etc/denyhosts.conf
검색 'ADMIN_EMAIL' 그리고 여기에 이메일 주소를 추가하여 의심스러운 로그인에 대한 이메일 알림을 수신합니다(여러 이메일 알림의 경우 쉼표로 구분). 내 구성 파일을 살펴보십시오. 센트OS 6.3 섬기는 사람. 각 변수는 잘 문서화되어 있으므로 원하는 대로 구성하십시오.
############# 거부 호스트 필수 설정 ############ SECURE_LOG = /var/log/보안. HOSTS_DENY = /etc/hosts.deny. BLOCK_SERVICE = SSHD. DENY_THRESHOLD_INVALID = 5. DENY_THRESHOLD_VALID = 10. DENY_THRESHOLD_ROOT = 1. DENY_THRESHOLD_RESTRICTED = 1. WORK_DIR = /var/lib/denyhosts. SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=예. HOSTNAME_LOOKUP=예. LOCK_FILE = /var/lock/subsys/denyhosts ############ DENYHOSTS 선택적 설정 ########### ADMIN_EMAIL =[이메일 보호됨] SMTP_HOST = 로컬 호스트. SMTP_PORT = 25. SMTP_FROM = 거부 호스트 <[이메일 보호됨]>SMTP_SUBJECT = DenyHosts 일일 보고서 ############ DENYHOSTS 선택적 설정 ############ DAEMON_LOG = /var/log/denyhosts. DAEMON_SLEEP = 30초. DAEMON_PURGE = 1시간
구성이 완료되면 다시 시작하십시오. 거부 호스트 새로운 변화를 위한 서비스. 우리는 또한 추가 거부 호스트 시스템 시작 서비스.
# chkconfig가 호스트를 거부합니다. # 서비스 거부 호스트 시작
시청하기 거부 호스트 ssh는 얼마나 많은 공격자와 해커가 서버에 액세스하려고 시도했는지 기록합니다. 실시간 로그를 보려면 다음 명령어를 사용하세요.
# 꼬리 -f /var/log/secure
11월 28일 15:01:43 tecmint sshd[25474]: 172.16.25.125 포트 4339 ssh2에서 허용된 루트 암호입니다. 11월 28일 15:01:43 tecmint sshd[25474]: pam_unix (sshd: session): (uid=0)에 의해 루트 사용자에 대해 열린 세션 11월 28일 16:44:09 tecmint sshd[25474]: pam_unix(sshd: session): 사용자 루트에 대해 세션이 닫혔습니다. 11월 29일 11:08:56 tecmint sshd[31669]: 172.16.25.125 포트 2957 ssh2에서 허용된 루트 암호입니다. 11월 29일 11:08:56 tecmint sshd[31669]: pam_unix(sshd: session): (uid=0)에 의해 루트 사용자에 대해 열린 세션 11월 29일 11:12:00 tecmint atd[3417]: pam_unix(atd: session): (uid=0)에 의해 루트 사용자에 대해 열린 세션 11월 29일 11:12:00 tecmint atd[3417]: pam_unix(atd: session): 사용자 루트에 대해 세션이 닫혔습니다. 11월 29일 11:26:42 tecmint sshd[31669]: pam_unix(sshd: session): 사용자 루트에 대해 세션이 닫혔습니다. 11월 29일 12:54:17 tecmint sshd[7480]: 172.16.25.125 포트 1787 ssh2에서 허용된 루트 암호
실수로 차단한 적이 있고 차단된 것을 제거하려면 IP 주소 ~로부터 거부 호스트. 서비스를 중지해야 합니다.
# /etc/init.d/denyhosts 중지
제거하거나 삭제하려면 금지된 IP 주소를 완전히. 다음 파일을 편집하고 IP 주소를 제거해야 합니다.
# vi /etc/hosts.deny. # vi /var/lib/denyhosts/hosts. # vi /var/lib/denyhosts/hosts-restricted. # vi /var/lib/denyhosts/hosts-root. # vi /var/lib/denyhosts/hosts-valid. # vi /var/lib/denyhosts/users-hosts
금지된 IP 주소를 제거한 후 서비스를 다시 시작하십시오.
# /etc/init.d/denyhosts 시작
아래의 모든 파일에 추가된 문제의 IP 주소 /var/lib/denyhosts 따라서 어떤 파일에 문제가 되는 IP 주소가 포함되어 있는지 확인하기가 매우 어렵습니다. 다음을 사용하여 IP 주소를 찾는 가장 좋은 방법 중 하나 그렙 명령. 예를 들어 IP 주소를 찾으려면 172.16.25.125, 하다.
cd /var/lib/denyhosts.cd 그렙 172.16.25.125 *
영구적으로 화이트리스트에 추가하려는 고정 IP 주소 목록이 있는 경우. 파일 열기 /var/lib/denyhosts/allowed-hosts 파일. 이 파일에 포함된 모든 IP 주소는 기본적으로 금지되지 않습니다(이것을 잠시 목록으로 간주).
# vi /var/lib/denyhosts/allowed-hosts
그리고 별도의 줄에 각 IP 주소를 추가합니다. 파일을 저장하고 닫습니다.
# localhost를 차단해서는 안됩니다. 127.0.0.1. 172.16.25.125. 172.16.25.126. 172.16.25.127