Блокировка атак на SSH-сервер с помощью DenyHosts

Блокировка атак на SSH-сервер с помощью DenyHosts

Рубрики:

Linux, Security

Метки:

, , ,

DenyHosts — это бесплатная программа безопасности для предотвращения вторжений с открытым исходным кодом для серверов SSH, разработанная Филом Шварцем на языке Python. Он предназначен для мониторинга и анализа журналов SSH-сервера на предмет недопустимых попыток входа в систему, атак на основе словаря и атак методом перебора, блокируя исходные IP-адреса путем добавления записи в файл /etc/hosts.deny на сервере и предотвращает IP-адрес от любых дальнейших попыток входа в систему.

DenyHosts — необходимый инструмент для всех систем на основе Linux, особенно когда мы разрешаем ssh-входы на основе паролей. В этой статье мы собираемся показать вам, как установить и настроить сервис на RHEL 6.3/6.2/6.1/6/5.8, CentOS 6.3/6.2/6.1/6/5.8 и Fedora 17,16,15,14,13,12 системы, использующие репозиторий epel.

 

Установка DenyHosts в RHEL, CentOS и Fedora

По умолчанию инструмент не включен в системы Linux, его нужно установить с помощью стороннего репозитория EPEL. После добавления репозитория установите пакет, используя следующую команду YUM.

 

 

Настройка для белых адресов IP-адресов

После установки сервиса обязательно внесите в белый список свой собственный IP-адрес, чтобы вы никогда не были заблокированы. Для этого откройте файл /etc/hosts.allow.

 

 

Ниже описания добавьте каждый IP-адрес по отдельности в отдельной строке, который вы не хотите блокировать. Формат должен быть следующим.

 

 

Настройка для оповещений по электронной почте

Основной файл конфигурации находится в /etc/denyhosts.conf. Этот файл используется для отправки оповещений по электронной почте о подозрительных входах в систему и ограниченных хостах. Откройте этот файл с помощью редактора VI.

 

 

Найдите «ADMIN_EMAIL» и добавьте свой адрес электронной почты здесь, чтобы получать уведомления по электронной почте о подозрительных входах в систему (для нескольких уведомлений по электронной почте используйте запятую). Пожалуйста, посмотрите файл конфигурации моего сервера CentOS 6.3. Каждая переменная хорошо документирована, поэтому настраивайте ее по своему вкусу.

 

 

Перезапуск сервиса

Когда вы закончите настройку, перезапустите сервис для новых изменений. Мы также добавляем сервис для запуска системы.

 

 

Проверка журналов

Информация о том сколько злоумышленников и хакеров пытаются получить доступ к вашему серверу, регистрируется в журналах ssh. Используйте следующую команду для просмотра журналов в реальном времени.

 

 

 

 

Удалить заблокированный IP-адрес

Если вы когда-нибудь случайно заблокировали IP-адрес и хотите его удалить из черного списка сервиса, вам нужно остановить службу.

 

 

Чтобы удалить заблокированный IP-адрес полностью, вам необходимо отредактировать следующие файлы и удалить IP-адрес.

 

 

После удаления забаненного IP-адреса перезапустите сервис еще раз.

 

 

Вредный IP-адрес добавляется ко всем файлам в каталоге /var/lib/denyhosts, поэтому очень сложно определить, какие файлы содержат его. Один из лучших способов узнать IP-адрес с помощью команды grep. Например, чтобы узнать IP-адрес 172.16.25.125, выполните.

 

 

Белый список IP-адресов

Если у вас есть список статических IP-адресов, которые вы хотите постоянно вносить в белый список, откройте файл /var/lib/denyhosts/allow-hosts. Какой бы IP-адрес не был указан в этом файле, он не будет забанен по умолчанию (считайте это белым списком).

 

 

И добавьте каждый IP-адрес в отдельной строке. Сохраните и закройте файл.

 

 

Спасибо за уделенное время на прочтение статьи о блокировке атак на SSH-сервер!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Ciscoкурсы по кибербезопасности,  полный курс по кибербезопасностикурсы DevNet (программируемые сети) от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Рубрики:

Linux, Security

Метки:

, , ,

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Поиск по сайту
Лучшее
Популярное
Рубрики
Меню