现在的服务器大多都有硬件防火墙,但是对于单台或者两到三台服务器采购单独一台防火墙这样可能对于小企业也是一笔开销,所以可以在linux下做iptables,还可以配置denyhosts做双层保障,下面介绍下Denyhosts的配置心得吧,用来辅助linux自动化运维是一个很不错的选择。
cd /usr/local/src
 tar -zxvf DenyHosts-2.5.tar.gz
 cd DenyHosts-2.5
 python setup.py install 
 默认是安装到/usr/share/denyhosts目录的。 
 cd /usr/share/denyhosts/
 cp denyhosts.cfg-dist denyhosts.cfg
 vi denyhosts.cfg 
#设置启动脚本 
 cp daemon-control-dist daemon-control
 chown root daemon-control
 chmod 700 daemon-control 
 ./daemon-control start 
DenyHosts自动启动: 
 cd /etc/init.d
 ln -s /usr/share/denyhosts/daemon-control denyhosts
 chkconfig –add denyhosts
 chkconfig –level 2345 denyhosts on 
或者修改/etc/rc.local文件: 
 vi /etc/rc.local 
/usr/share/denyhosts/daemon-control start 
    DenyHosts配置文件: 
    vi /etc/denyhosts.cfg
    SECURE_LOG = /var/log/secure #ssh 日志文件,它是根据这个文件来判断的。
    HOSTS_DENY = /etc/hosts.deny #控制用户登陆的文件
    PURGE_DENY = 5d #过多久后清除已经禁止的ip(m=分 h=小时 d=天 w=周 y=年....囧)
    BLOCK_SERVICE  = sshd #禁止的服务名
    DENY_THRESHOLD_INVALID = 5#  允许无效用户失败的次数
    DENY_THRESHOLD_VALID = 10#  允许普通用户登陆失败的次数
    DENY_THRESHOLD_ROOT = 10#  允许root登陆失败的次数
    HOSTNAME_LOOKUP=NO  #是否做域名反解
    ADMIN_EMAIL = iakuf@163.com#  管理员邮件地址,它会给管理员发邮件(已禁止)
    DAEMON_LOG = /var/log/denyhosts#自己的日志文件 
启动
service denyhost start 
观察/etc/hosts.deny内是否有禁止的IP,有的话说明已经成功了。