denyhost防止SSH暴力破解，保护你的linux

　　本文介绍了linux下使用denyhost防止ssh暴力破解，保护linux安全。

　　工作中的linux服务器每天都会有无数的SSH失败尝试记录，有些人一直不停的扫描，使用软件在那里穷举扫描,所以大家第一要记的设置一个好的够复杂的密码。

　　怎么样防,如果要一条一条将这些IP阻止显然治标不治本，还好有DenyHosts软件来代替我们手搞定他。

　　DenyHosts是Python语言写的一个程序，它会分析sshd的日志文件，当发现重复的攻击时就会记录IP到/etc/hosts.deny文件，从而达到自动屏IP的功能。

　　DenyHosts官方网站为：http://denyhosts.sourceforge.net

　　以下是安装记录(以CentOS 4.8, DenyHosts 2.6 为例)

　　1.安装

　　# tar -zxvf DenyHosts-2.6.tar.gz

　　# cd DenyHosts-2.6

　　# python setup.py install

　　默认是安装到/usr/share/denyhosts目录的。

　　2.配置

　　# cd /usr/share/denyhosts/

　　# cp denyhosts.cfg-dist denyhosts.cfg

　　# vi denyhosts.cfg

　　根据自己需要进行相应的配置

　　SECURE_LOG = /var/log/secure

　　#ssh 日志文件，它是根据这个文件来判断的。

　　HOSTS_DENY = /etc/hosts.deny

　　#控制用户登陆的文件

　　PURGE_DENY = 5m

　　#过多久后清除已经禁止的

　　BLOCK_SERVICE = sshd

　　#禁止的服务名

　　DENY_THRESHOLD_INVALID = 1

　　#允许无效用户失败的次数

　　DENY_THRESHOLD_VALID = 5

　　#允许普通用户登陆失败的次数

　　DENY_THRESHOLD_ROOT = 5

　　#允许root登陆失败的次数

　　HOSTNAME_LOOKUP=NO

　　#是否做域名反解

　　ADMIN_EMAIL = admin@yahunet.com

　　#管理员邮件地址,它会给管理员发邮件

　　DAEMON_LOG = /var/log/denyhosts

　　#自己的日志文件

　　3.设置启动脚本

　　# cp daemon-control-dist daemon-control

　　# chown root daemon-control

　　# chmod 700 daemon-control

　　完了之后执行daemon-contron start就可以了。

　　# ./daemon-control start

　　如果要使DenyHosts每次重起后自动启动还需做如下设置：

　　# ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts

　　# chkconfig --add denyhosts

　　# chkconfig denyhosts on

　　然后就可以启动了：

　　# service denyhosts start

　　可以看看/etc/hosts.deny内是否有禁止的IP，有的话说明已经成功了。