DenyHosts安全防護

2022-07-13 11:36:13 字數 2030 閱讀 6781

一, 關於安裝核修改配置檔案:

denyhosts官網:

2.解壓安裝並備份乙份配置:

[root@www ~]# tar zxvf denyhosts-2.6.tar.gz

[root@www ~]# cd denyhosts-2.6

[root@www denyhosts-2.6]# yum install python -y

[root@www denyhosts-2.6]# python setup.py install

[root@www denyhosts-2.6]# cd /usr/share/denyhosts/

[root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg //配置檔案

[root@www denyhosts]# cp daemon-control-dist daemon-control //啟動檔案

[root@www denyhosts]# chown root daemon-control

[root@www denyhosts]# chmod 700 daemon-control

3. 配置檔案內容說明

[root@www denyhosts]# vi denyhosts.cfg

secure_log = /var/log/secure #ssh日誌檔案

# format is: i[dhwmy]

# where i is an integer (eg. 7)

# m = minutes

# h = hours

# d = days

# w = weeks

# y = years

## never purge:

purge_deny = 50m #過多久後清除已阻止ip

hosts_deny = /etc/hosts.deny #將阻止ip寫入到hosts.deny

block_service = sshd #阻止服務名

purge_threshold = #定義了某一ip最多被解封多少次。某ip暴力破解ssh密碼被阻止/解封達到了purge_threshold次,則會被永久禁止;

deny_threshold_invalid = 1 #允許無效使用者登入失敗的次數

deny_threshold_valid = 10 #允許普通使用者登入失敗的次數

deny_threshold_root = 5 #允許root登入失敗的次數

work_dir = /usr/local/share/denyhosts/data #將deny的host或ip紀錄到work_dir中

deny_threshold_restricted = 1 #設定 deny host 寫入到該資料夾

lock_file = /var/lock/subsys/denyhosts #將denyhots啟動的pid紀錄到lock_file中,已確保服務正確啟動,防止同時啟動多個服務。

hostname_lookup=no #是否做網域名稱反解

admin_email = #設定管理員郵件位址

daemon_log = /var/log/denyhosts #denyhosts日誌位置

4.啟動服務:

# ./daemon-control start #啟動denyhosts

# ln -s /usr/share/denyhosts/daemon-control /etc/init.d //對daemon-control進行軟連線,方便管理

# /etc/init.d/daemon-control start //啟動denyhosts

# chkconfig daemon-control on //將denghosts設成開機啟動

或者# vi /etc/rc.local --------->加入下面這條命令:

/usr/share/denyhosts/daemon-control start

5.檢視攻擊ip記錄和白名單

ip記錄: /etc/hosts.deny

白名單: /etc/hosts.allow

安全防護1

以下都以asp.net開發 為例。1 sql注入漏洞。解決辦法 使用儲存過程,引數不要用字串拼接。簡單改進辦法 使用sqlhelper和oledbhelper 2 跨站指令碼漏洞 解決辦法 預設禁止,顯式允許 的策略。具體參考 從客戶端檢測到有潛在危險的request.form值,禁止提交html標...

SELinux安全防護

實現此案例需要按照如下步驟進行。步驟一 將linux伺服器的selinux設為enforcing強制模式 1 固定配置 修改 etc selinux config檔案 確認或修改selinux為enforcing模式 root svr5 vim etc selinux config selinux ...

簡單安全防護

盡量將埠禁用,盡量不要將埠暴露在公網,盡量僅供127.0.0.1訪問 如非必要,盡量不要將服務暴露在公網,尤其是資料庫等服務 設定連續登入失敗禁用一段時間,防爆破 攻擊者一般直接使用ip來攻擊 可以將ip訪問的預設 只寫乙個首頁 上述不利於搜尋引擎收錄,可以將搜尋引擎的網域名稱加入白名單使用ngin...