Denyhosts ielaušanās novēršanas sistēma

1. Lai aizliegtu SSH sesijas uzlaušanu ar pilno pārlasi, izmantojot vārdnīcu ar pieteikšanās vārdiem un iespējamām parolēm, uzliek Denyhosts:

   sudo apt-get install denyhosts

2. Ja nevēlas saņemt e-pasta ziņojumus par pievienotajiem aizliegumiem, failā  /etc/denyhosts.conf izmaina rindu uz:

   ADMIN_EMAIL =

3. Lai /etc/hosts.deny fails nepaliktu bezgalīgi liels, ļauj izdzēst sliktos resursdatorus pēc 1 nedēļas. Failā /etc/denyhosts.conf rindu PURGE_DENY = nomaina uz:

   PURGE_DENY = 1w

4. Ja vēlas, lai uzlauzējiem tiktu aizliegti visi pieejamie servisi, rindu BLOCK_SERVICE = sshd nomaina uz:

   BLOCK_SERVICE = ALL

5. Ja vēlas, lai uzlauzējam uzreiz tiktu atslēgts TCP/IP savienojums ar iptables, atkomentē rindu:

   IPTABLES = /sbin/iptables

6. Lai denyhosts neaizņemtu daudz procesora laika, aizliedz DNS pieprasījumus IP adrešu atšifrēšanai uz mītnes nosaukumu. /etc/denyhosts.conf nomaina rindas uz:

   ...
   HOSTNAME_LOOKUP=NO
   ...
   ALLOWED_HOSTS_HOSTNAME_LOOKUP=NO
   ...

7. Pārstartē procesu:

   /etc/init.d/denyhosts restart

Pārraudzība

Ja vēlas denyhosts pārraudzīt ar Munin, uzstāda denyhosts Munin spraudni.

Kļūdu novēršana

Ja tiek aizliegta atļauta IP adrese

1. Piesakās no cita datora

2. Kā root lietotājs aptur denyhost:

   /etc/init.d/denyhosts stop

3. Izdzēš aizliegto adresi failos /etc/hosts.deny un /etc/hosts.deny.purge.bak:

   cd /etc/
   sed -i -e '/^.*111\.222\.333\.444.*$/d' hosts.deny
   sed -i -e '/^.*111\.222\.333\.444.*$/d' hosts.deny.purge.bak

4. Izdzēš minēto adresi no /var/lib/denyhosts žurnālu failiem:

   cd /var/lib/denyhosts
   sed -i -e '/^.*111\.222\.333\.444.*$/d' *

5. Palaiž denyhost:

   /etc/init.d/denyhosts start

IP adreses iekļaušana "baltajā sarakstā"

1. Lai iekļautu IP adresi "baltajā sarakstā", atver failu /etc/hosts.allow un pievieno tajā rindu, piemēram:

   ALL: 127.0.0.1

Saites

• Protecting SSH from brute force attacks

Alternatīvas

• fail2ban