Install the DenyHosts on CentOS 5

Facebooktwittermail

sshのログから認証失敗のIPを抽出してブロックするDenyHostsをインストールしてみました

DenyHosts
http://denyhosts.sourceforge.net/

参考サイト
DenyHosts で ssh ブルートフォースアタック対策
http://www.maruko2.com/mw/DenyHosts_%E3%81%A7_ssh_%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B9%E3%82%A2%E3%82%BF%E3%83%83%E3%82%AF%E5%AF%BE%E7%AD%96

  1. DenyHostsをインストール
  2. いつものようにyumを使ってインストールします

  3. 設定ファイルの編集
  4. DenyHostsの設定ファイル /etc/denyhosts.confを編集します。今回は
    ・ブロックしたIPは自動削除しない
    ・rootでアクセスしてきたIPは1回でブロック
    ・存在しないユーザーで失敗すると1回でブロック
    ・存在するユーザーで3回失敗するとブロック
    ・新たにブロックが発生したらメールで管理者に通知

    Defaultの/etc/denyhosts.conf

  5. 自動起動の設定
  6. 常に許可するIPを設定
  7. sshを常に許可するIPを/etc/hosts.allowに記述します

  8. DenyHostsの開始

開始されると /var/log/secureを調べて設定した条件に合ったIPをブロックするために/etc/hosts.denyに追加されます。今回は15個のIPが登録され管理者にメールが届きました

しばらくこれで様子をみます
ちなみにログは/var/log/denyhostsでlogrotateもインストール時に設定されています

Leave a Reply