当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [问题]denyhosts配置后无法正常工作,又有新问题!
帖子发表于 : 2008-02-03 10:31 
头像

注册: 2007-07-07 9:47
帖子: 40
地址: 贰樓
送出感谢: 0 次
接收感谢: 0 次
安装后每天ssh端口仍然受到暴力攻击,而且hosts.deny和hosts.allow两个文件不存在,google说需要安装tcpwrapper,但是搜索不到

我的denyhosts配置文件,其他项没改动

# Debian:
SECURE_LOG = /var/log/auth.log
HOSTS_DENY = /etc/hosts.deny
# never purge:
PURGE_DENY =
PURGE_DENY = 10m
# To block only sshd:
BLOCK_SERVICE = sshd
# user login attempts (eg. non-existent user accounts)
DENY_THRESHOLD_INVALID = 1
# user login attempts (eg. user accounts that exist in /etc/passwd) except for the "root" user
DENY_THRESHOLD_VALID = 6
# "root" user login attempts only.
DENY_THRESHOLD_ROOT = 3
# usernames that appear in the WORK_DIR/restricted-usernames file only.
DENY_THRESHOLD_RESTRICTED = 1
# WORK_DIR: the path that DenyHosts will use for writing data to
# (it will be created if it does not already exist).
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=NO
# Debian
LOCK_FILE = /var/run/denyhosts.pid
ADMIN_EMAIL = root@localhost
DAEMON_LOG = /var/log/denyhosts


配置好后重启denyhosts生效
sudo /etc/init.d/denyhosts restart
但是看不到denyhosts工作,主要是3点
1. 配置后仍然能在auth.log里看到大量攻击ssh端口的ip,没有被屏蔽
2. hosts.deny和hosts.allow两个文件不存在
3. /var/run/denyhosts.pid 这个文件不管denyhosts是否运行,都不能被创建,看注释好像不正常
#######################################################
#
# LOCK_FILE
#
# LOCK_FILE=/path/denyhosts
# If this file exists when DenyHosts is run, then DenyHosts will exit
# immediately. Otherwise, this file will be created upon invocation
# and deleted upon exit. This ensures that only one instance is
# running at a time.
#
# Debian
LOCK_FILE = /var/run/denyhosts.pid
#
########################################################


最后由 chisim 编辑于 2008-02-04 15:31,总共编辑了 2 次

页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-02-03 14:49 
头像

注册: 2006-04-12 20:05
帖子: 8495
地址: 杭州
送出感谢: 0 次
接收感谢: 8
其实有个办法,就是让雕叔ssh到你机器上,给你配置好...我就是这么干的....

引用:
$ grep -v "^ *#" /etc/denyhosts.conf

SECURE_LOG = /var/log/auth.log

HOSTS_DENY = /etc/hosts.deny


PURGE_DENY =
PURGE_DENY = 1w



BLOCK_SERVICE = sshd


DENY_THRESHOLD_INVALID = 5

DENY_THRESHOLD_VALID = 10

DENY_THRESHOLD_ROOT = 1


DENY_THRESHOLD_RESTRICTED = 1


WORK_DIR = /var/lib/denyhosts

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES

HOSTNAME_LOOKUP=YES


LOCK_FILE = /var/run/denyhosts.pid




ADMIN_EMAIL = root@localhost

SMTP_HOST = localhost
SMTP_PORT = 25


SMTP_FROM = DenyHosts <nobody@localhost>

SMTP_SUBJECT = DenyHosts Report




AGE_RESET_VALID=5d

AGE_RESET_ROOT=25d

AGE_RESET_RESTRICTED=25d


AGE_RESET_INVALID=10d














DAEMON_LOG = /var/log/denyhosts




DAEMON_SLEEP = 30s

DAEMON_PURGE = 1h






SYNC_SERVER = http://xmlrpc.denyhosts.net:9911



SYNC_UPLOAD = yes


SYNC_DOWNLOAD = yes




_________________
关注我的blog: ε==3


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-02-04 15:19 
头像

注册: 2007-07-07 9:47
帖子: 40
地址: 贰樓
送出感谢: 0 次
接收感谢: 0 次
发现托管的7.04 server上安装的denyhosts有问题,不工作。但是本地局域网的一台7.10 server安装denyhosts配置后就能正常工作。

但是7.10上也有疑问,设置的是无效用户试图连接一次就block。有效用户(非root)试图连接6次,root试图连接3次,密码还不正确就block 10分钟。
PURGE_DENY = 10m
DENY_THRESHOLD_INVALID = 1
DENY_THRESHOLD_VALID = 6
DENY_THRESHOLD_ROOT = 3

可是我用putty测试,每个都有7次输密码的机会,还连接不上就block。这样的话上面的3项设置就没有什么用处了,不知道login attempts和输入密码次数是不是一个概念?还有IP地址被block10分钟后为什么还没有被从hosts.deny文件中释放呢,被ban地址需要去手动编辑hosts.deny文件去释放。

最后为什么7.04的server装上denyhosts就是不工作呢


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译