老左笔记
随着更多的站长加入且使用VPS主机作为自己的网站项目存储方式,但对于VPS主机的安全问题尤为的需要大家关心。不管我们是用一键包、还是用面板搭建自己的网站,VPS主机的安全不仅仅如此,很多时候可能由于对网站的攻击、也可能是对端口的扫描破解,甚至有各种可能存在的不安全因素。在之前的文章中,老左也有介绍过关于VPS主机需要注意的安全以及解决方案。
Linux VPS安全设置之三:使用DDOS deflate抵御少量DDOS攻击
因为最近一段时间,老左在陆续的补充以前漏掉的,不够完善的VPS基础教程内容,一来是作为自己的学习基础的扎实,二来是为了更好的完善以前的内容。所以,最近如果有时间会慢慢的补全。今天要分享的是利用DenyHosts工具在LINUX系统下来阻止暴力破解SSH的工具,一旦设定之后可以阻止因为试探登录和破解账户的IP次数,类似上面的DEFLATE工具的原理。
具体的工作原理:我们可以监控到某个IP的异常请求连接,达到多少次数之后对其进行限制,然后所有的过滤阻止的IP都存在一个文档中我们可以进行分析切进行其他手段的永久限制。
DenyHosts工具的具体具体安全和使用方法:
第一、从官方下载最新源码包
wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
tar zxvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
目前DenyHosts官方网站最新的安装包是2.6版本,我们下载、解压、进入DenyHosts目录。
第二、部署安全工具
yum install python -y
python setup.py install
第三、配置文件
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
cp daemon-control-dist daemon-control
第四、编辑配置文件denyhosts.cfg
这个文件在/usr/share/denyhosts/目录下,我们可以通过WINSCP工具下载到本地,然后慢慢分析设定配置文件,具体我们只需要通过CRTL+F搜索下面的几个命令行,然后如果需要设置的把前面#去掉修改后面的参数。
PURGE_DENY:当IP被阻止之后,多久自动释放,文档中可以选择1w(1周)和5d(5天),我们可以自己设定
PURGE_THRESHOLD:设定某个IP被限制多少次之后永久封闭
BLOCK_SERVICE:我们需要阻止的服务名称
DENY_THRESHOLD_INVALID:一个无效的用户尝试多少次之后被阻止
DENY_THRESHOLD_VALID:一个有效的用户尝试多少次之后被阻止
DENY_THRESHOLD_ROOT:ROOT用户尝试多少次被阻止
HOSTNAME_LOOKUP:是否尝试的解析IP的域名地址
一般我们只需要设置上面的7个选项就可以。
第五、启动Denyhosts服务
./daemon-control start
我们最好是要设定自动启动,不能每次还需要手工启动。
cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig -level 2345 denyhosts on
这样我们就完成了设置以及自动启动,如果我们希望看看哪些地址在尝试登录我们账户,可以在/etc/hosts.deny文件中看到具体的记录数据。
