>hosts.allow与hosts.deny两个文件均在/etc/目录下优先级为先检查hosts.deny，再检查hosts.allow，后者设定可越过前者限制，例如：1.限制所有的ssh，除非从218.64.87.0&&127上来。hosts.deny:in.sshd:ALLhosts.allow:in.sshd:218.64.87.0/255.255.255.1……
声明：该文章系网友上传分享，此内容仅代表网友个人经验或观点，不代表本网站立场和观点；若未进行原创声明，则表明该文章系转载自互联网；若该文章内容涉嫌侵权，请及时向
论文写作技巧
上一篇：下一篇：
相关经验教程- 最好的系统光盘下载网站！
当前位置： >
> 详细页面
在Linux上怎么安装和配置DenyHosts工具
来源：系统之家
作者：qipeng
　　使用DenyHosts能够进行自动屏ip的功能，掌握DenyHosts在Linux系统中的安装是很有必要的，那么在Linux系统中要如何安装DenyHosts工具呢？安装后又要如何配置呢？这都是用户需要学习的。
　　denyhosts是一个安全工具，用Python编写的，用于监视服务器访问日志，防止虚拟专用服务器蛮力攻击。该项目工程通过禁止超过一定次数的失败登录尝试的IP地址。
　　步骤一、安装denyhosts
　　是的，denyhosts很容易安装在Ubuntu
　　sudo apt-get install denyhosts
　　一旦程序下载完成后，denyhosts将自动安装和配置在你的VPS上。
　　步骤二、白名单的IP地址
　　在您安装的denyhosts，一定要白名单自己的IP地址。跳过此步骤将让你在锁定自己出你自己的机器的风险。
　　打开允许在您的VPS允许的主机列表：
　　sudo nano /etc/hosts.allow
　　根据描述，在不能从服务器禁止任何IP地址添加，你可以写每一个单独的行上，使用这种格式：
　　sshd： yourip
　　在进行任何更改后，一定要重新启动denyhosts以使新的设置把你的虚拟专用服务器上的效果：
　　sudo /etc/init.d/denyhosts restart
　　步骤三（可选）配置的denyhosts
　　是的，denyhosts随时使用，只要安装就结束了。
　　但是，如果你想自定义你的VPS的denyhosts的行为，可以使DenyHost配置文件中的变化：
　　sudo nano /etc/denyhosts.conf
　　DenyHosts参数配置
　　# cd /usr/share/denyhosts/ #DenyHosts默认安装目录
　　# cp denyhosts.cfg-dist denyhosts.cfg
　　# vi denyhosts.cfg #DenyHosts配置文件
　　SECURE_LOG = /var/log/secure #ssh日志文件
　　# format is： i［dhwmy］
　　# Where i is an integer （eg. 7）
　　# m = minutes
　　# h = hours
　　# d = days
　　# w = weeks
　　# y = years
　　# never purge：
　　PURGE_DENY = 50m #过多久后清除已阻止IP
　　HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
　　BLOCK_SERVICE = sshd #阻止服务名
　　DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数
　　DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数
　　DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数
　　WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中
　　DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹
　　LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。
　　HOSTNAME_LOOKUP=NO #是否做域名反解
　　ADMIN_EMAIL = #设置管理员邮件地址
　　DAEMON_LOG = /var/log/denyhosts #自己的日志文件
　　DAEMON_PURGE = 10m #该项与PURGE_DENY 设置成一样，也是清除hosts.deniedssh 用户的时间。
　　DenyHosts启动文件配置
　　# cp daemon-control-dist daemon-control
　　# chown root daemon-control
　　# chmod 700 daemon-control
　　# 。/daemon-control start #启动DenyHosts
　　#ln -s /usr/share/denyhosts/daemon-control /etc/init.d #对daemon-control进行软连接，方便管理
　　安装到这一步就完成了。
　　#/etc/init.d/daemon-control start #启动denyhosts
　　#chkconfig daemon-control on #将denghosts设成开机启动
　　加入到自动重启
　　# vi /etc/rc.local
　　加入下面这条命令
　　/usr/share/denyhosts/daemon-control start
　　查看攻击ip 记录
　　# vi /etc/hosts.deny
　　上面就是Linux安装配置DenyHosts的方法介绍了，配置好DenyHosts工具后，你就能使用DenyHosts对日志文件进行分析了。
栏目热门教程
人气教程排行
热门系统下载
本站发布的系统与软件仅为个人学习测试使用，请在下载后24小时内删除，不得用于任何商业用途，否则后果自负，请支持购买微软正版软件！如侵犯到您的权益,请及时通知我们,我们会及时处理。
Copyright&2011 系统之家（www.xitongzhijia.net） 版权所有 闽ICP备号-1Carey【胭脂扣】
昨天的两个暴力破解工具就是为了测试今天所要说的denyhosts 工具
声明！本文对你有用请给予评价！转载收藏请注明出处尊重作者劳动成果！
作用，他人恶意使用ssh暴力破解软件对你的服务器进行密码批对，起因是在我这几周的日常服务检测中发现有很多的未知IP在用ssh尝试root用户的验证，
这实在是有点~虽然本人采用的是超级复杂的密码但还是怕有朝一日破解root那我的服务就成肉机了。
今天分别在两台服务器上安装了该软件，分别为RHEL6.3 和RHEL5.5已经我的测试机CentOS6.3 基本没有什么困难，很简单
DenyHosts官方网站为：
这个网站我是没访问成功- -！ 我Google了下找到了一个ftp的下载地址：
1 [root@mail ~]# wget http://soft.vpser.net/security/denyhosts/DenyHosts-2.6.tar.gz
2 --15:25:43--
http://soft.vpser.net/security/denyhosts/DenyHosts-2.6.tar.gz
3 Resolving soft.vpser.net... 96.44.153.111
4 Connecting to soft.vpser.net|96.44.153.111|:80... connected.
5 HTTP request sent, awaiting response... 200 OK
6 Length: 42667 (42K) [application/octet-stream]
7 Saving to: `DenyHosts-2.6.tar.gz'
9 100%[=======================================================================&] 42,667
11 15:25:45 (64.1 KB/s) - `DenyHosts-2.6.tar.gz' saved []
13 [root@mail ~]# tar zxvf DenyHosts-2.6.tar.gz
下载并解压后 进入到解压目录 运行# python setup.py install 安装因为该软件是根据python 做的 当然默认的安装目录会放在/usr/share/denyhosts/下
1 [root@mail DenyHosts-2.6]# python setup.py install
2 running install
3 running build
4 running build_py
[root@mail DenyHosts-2.6]# cd /usr/share/denyhosts/修改下两个范例的名字 当然自己也可以手写，我这里查看了下daemon的配置基本上符合自己的要求所有稍后修改下几个参数就OK了
[root@mail denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg
[root@mail denyhosts]# cp daemon-control-dist daemon-control
[root@mail denyhosts]#vi denyhosts.cfg
主要参数说明：HOSTS_DENY = /etc/hosts.deny ###控制用户登陆的文件SECURE_LOG = /var/log/secure ###sshd的日志文件这个不用多说PURGE_DENY = 1d
###多长时间后清理禁止ip 可按照 年月日来定义 我定义为1d及一天 BLOCK_SERVICE& = sshd
###要禁止的服务 sshdDENY_THRESHOLD_INVALID = 1
###允许无效用户验证次数DENY_THRESHOLD_VALID = 4 ###普通用户验证次数DENY_THRESHOLD_ROOT = 4
###root用户验证次数HOSTNAME_LOOKUP=NO ###是否做域名反解DAEMON_LOG = /var/log/denyhosts
这个不用多说了 该工具的日志存放路径
我的修改修改了清空禁止的时间为1天、root用户的验证次数为4次 普通也为4次 其他的未做修改，可以根据自己的情况而定。
防止其他用户修改此软件
1 [root@mail denyhosts]# chown root daemon-control
2 [root@mail denyhosts]# chmod 700 daemon-control启动服务
出现starting 开始 OK完成
3 [root@mail denyhosts]# ./daemon-control start
4 starting DenyHosts:
/usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
但是作为服务器想让其开机自动启动可以将 启动的命令 绝对路径！/usr/share/.../daemon-control start 放到/etc/rc.local下或者做一个软连接（类似windows下的快捷方式）
1 [root@mail denyhosts]# cd /etc/init.d/
2 [root@mail init.d]# ln -s /usr/share/denyhosts/daemon-control denyhosts
3 [root@mail init.d]# chkconfig --add denyhosts
4 [root@mail init.d]# chkconfig --level 2345 denyhosts on
5 实现开机自动启动该任务。好了OK全部完成。
6 有兴趣的可以参考我上文的hydra 工具做下验证效果！
首先cat /etc/hosts.deny 是否为空 OK是空的。
然后再另一个装有hydra工具的机器上运行命令hydra破解
先交代下我的251为denyhosts工具机而254为hydre机器
我在254上运行命令：
1 [root@localhost ~]# hydra 192.168.1.251 ssh -l root -P passwrod.txt
2 Hydra v7.4.2 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only
4 Hydra (http://www.thc.org/thc-hydra) starting at
5 [DATA] 11 tasks, 1 server, 11 login tries (l:1/p:11), ~1 try per task
6 [DATA] attacking service ssh on port 22
7 [ERROR] ssh protocol error
8 1 of 1 target completed, 0 valid passwords found
9 Hydra (http://www.thc.org/thc-hydra) finished at
10 [root@localhost ~]#
上述意见报错了!OK 在切回到251上查看下 cat /etc/hosts.deny 的信息
1 [root@mail init.d]# cat /etc/hosts.deny
3 # hosts.deny
This file describes the names of the hosts which are
*not* allowed to use the local INET services, as decided
by the '/usr/sbin/tcpd' server.
7 # The portmap line is redundant, but it is left to remind you that
8 # the new secure portmap uses hosts.deny and hosts.allow.
In particular
9 # you should know that NFS uses portmap!
11 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 221.176.53.74
12 sshd: 221.176.53.74
13 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 223.202.45.74
14 sshd: 223.202.45.74
15 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 202.116.102.7
16 sshd: 202.116.102.7
17 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 58.215.39.9
18 sshd: 58.215.39.9
19 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 201.173.90.16
20 sshd: 201.173.90.16
21 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 123.196.113.11
22 sshd: 123.196.113.11
23 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 31.210.107.85
24 sshd: 31.210.107.85
25 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 118.244.14.49
26 sshd: 118.244.14.49
27 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 42.96.162.225
28 sshd: 42.96.162.225
29 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 124.248.194.126
30 sshd: 124.248.194.126
31 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 213.248.110.43
32 sshd: 213.248.110.43
33 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 108.62.45.250
34 sshd: 108.62.45.250
35 # DenyHosts: Wed Jun 19 15:33:51 2013 | sshd: 223.202.15.2
36 sshd: 223.202.15.2
37 # DenyHosts: Wed Jun 19 16:35:53 2013 | sshd: 192.168.1.254
38 sshd: 192.168.1.254
39 [root@mail init.d]#
哎呀我擦！就这么一会儿功夫已经连接了很多个了！ 看来安装此软件到服务器是势在必行的啊！
每天服务器要接受这样的暴力破解验证请求也不会少于50次
一个礼拜就N多了！
好了就到这里了。如果该文章对你有用 请给予评价 转载请注明出处！
[root@mail denyhosts]# chown root daemon-control[root@mail denyhosts]# chmod 700 daemon-control[root@mail denyhosts]# ./daemon-control startstarting DenyHosts: & &/usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
阅读(...) 评论() &
模式切换成功！您可以再次单击恢复。linux /etc/hosts.allow和/etc/hosts.deny的配置方法
本回答由提问者推荐
var sogou_ad_id=731547;
var sogou_ad_height=160;
var sogou_ad_width=690;Linux（29）
Shell（13）
服务器架设（7）
两个文件可以用来控制远程访问的权限。
hosts.allow对应允许远程连接的用户，hosts.deny对应拒绝远程访问的用户。
以ssh为例：
编辑hosts.deny.
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
See the manual pages hosts_access(5) and hosts_options(5).
# Example:
ALL: some.host.name, .some.domain
ALL EXCEPT in.fingerd: other.host.name, .other.domain
# If you're going to protect the portmapper use the name &rpcbind& for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
# The PARANOID wildcard matches any host whose name does not match its
# address.
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
sshd:jammgit_1
host.deny文件一些语法（allow类似）：
sshd:netid.* // 拒绝一切网络号为netid的主机登陆
那么，当用ssh登陆时会提示：
jammgit@jammg:/etc$ ssh -l jammgit_l localhost
jammgit_l@localhost's password:
Permission denied, please try again.
注意，当deny和allow的数据有冲突，例如有一个用户既同意又不同意，那么以allow为准。
另一方面，ssh有一个配置文件sshd_config，如果里面设置和hosts.allow和hosts.deny有冲突，那么以sshd_config为准。
#vim sshd_config
AllowUsers jammgit_1
那么最终是可以登陆的。
hosts是实现dns功能的文件，在局域网机器数量大的情况下应该开启dns服务器。
&&相关文章推荐
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：50840次
积分：1357
积分：1357
排名：千里之外
原创：80篇
转载：26篇
评论：18条
(1)(2)(1)(1)(2)(9)(18)(5)(6)(11)(1)(18)(13)(2)(7)(2)(8)(1)