Archive for 九月, 2009

ssh反密码扫描工具,deny-hosts

星期五, 九月 18th, 2009

有些ssh入口暴露在外面的机器,没法在hosts.deny加all:all来封堵公众接口 ,经常被心怀不轨的人用穷举方式跑ssh密码,装了deny-hosts之后,在尝试ssh密码失败超过十次之后,客户端ip即加入到hosts.deny中,无法再次验证密码了。
denyhosts安装比较容易,步骤如下:
1.下载
cd /usr/local/src/
wget http://xxx.net/DenyHosts-2.6.tar.gz (可以到google搜索)
2.安装
tar xzvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
3.金牌娱乐官方网站
denyhosts会按照在/usr/share/denyhosts里

cd /usr/share/denyhosts/

cp daemon-control-dist daemon-control
cp denyhosts.cfg-dist denyhosts.cfg
其中denyhosts.cfg即为denyhosts的金牌娱乐官方网站文件,
vi denyhosts.cfg改qizhong 某几项值

DENY_THRESHOLD_INVALID = 2
即如果用户名是非法的,客户端尝试两次失败后,即把客户ip加到hosts.deny中

DENY_THRESHOLD_VALID = 8
即如果用户名是合法的(非root),可以运行客户端尝试8次

DENY_THRESHOLD_ROOT = 1
如果用户名是root ,只允许尝试一次

4.启动
/usr/share/denyhosts/daemon-control start即启动denyhosts

将/usr/share/denyhosts/daemon-control start加到/etc/rc.local使每次重启后都会自动启动denyhosts