DenyHosts ist ein Skript, das von Linux-Systemadministratoren laufen gelassen werden kann, um gegen SSH-Serverattacken zu helfen (auch bekannt als Wörterbuch-Attacken und Brute-Force-Attacken).

DenyHosts

DenyHosts ist eine Utility um Systemadministratoren gegen SSH-Angreifern zu helfen

Download für openSUSE:

Tumbleweed
15.2
15.1
15.0

Hersteller: Phil Schwartz

Lizenz: GPLv2
Webseite: http://denyhosts.sourceforge.net

Inhaltsverzeichnis

1 Features und Dokumentation
2 Installation und Konfiguration von DenyHosts
3 Siehe auch
4 Externe Links

Features und Dokumentation

Wenn Sie jemals in Ihre SSH-Logs (/var/log/messages, /var/log/warn, etc...) gesehen haben, können Sie beunruhigt sein zu sehen, wie viele Hacker versuchten Zugang zu Ihrem Server zu erhalten. Hoffentlich war keiner von denen erfolgreich (dann aber wieder, woher würden Sie das wissen?). Wär es nicht besser automatisch zu verhindern, dass Angreifer weiterhin versuchen Beitritt in Ihr System zu erlangen?

DenyHosts versucht das oben erwähnte... zu adressieren und mehr:

Analysiert /var/log/messages um alle Login-Versuche zu finden und filtert Fehlversuche und erfolgreiche Anläufe.
Der Synchronisations-Modus ermöglicht DenyHosts-Daemons die Fähigkeit Daten über einen zentralen Server gemeinsam zu nutzen um vorausschauend gegen Attacken geschützt zu sein.
Kann von der CLI aus, über cron oder als Daemon laufen gelassen werden.
Speichert alle fehlgeschlagenen Login-Versuche für den Benutzer und den verletzenden Host.
Jeder Host, der einen Grenzwert überschreitet, wird als böser Host registriert.
Behält jeden nicht-existierenden Benutzer (z.B. sdadasd) im Auge, wenn ein Login-Versuch fehlschlägt.
Behält jeden vorhandenen Benutzer (z.B. root) im Auge, wenn ein Login-Versuch fehlschlägt.
Behält jeden verletzenden Host im Auge (diese Hosts können gelöscht werden, wenn der dazugehörige Eintrag in /etc/hosts.deny abgelaufen ist).
Beobachtet verdächtige Logins (wenn Logins auf einem Host erfolgreich waren, es aber viele Fehlschläge bei Anmeldungen gab)
Beobachtet das Datei-Offset, so dass man weiterhin die gleiche Datei (var/log/messages) neu analysieren kann (bis es sich gedreht hat).
Wenn das Logfile rund gelaufen ist, wird das Skript das erfassen und vom Anfang an wieder analysieren.
Hängt /etc/hosts.deny an und fügt die neu gebannten Hosts hinzu.
Sendet optional eine E-Mail über die neu gebannten Hosts und verdächtige Logins.
Führt eine Historie aller Benutzer, Hosts, Benutzer/Host-Kombinationen und verdächtige Anmeldungen, die angetroffen werden und die Daten und Anzahl der dazugehörigen fehlgeschlagenen Login-Versuche beinhalten.
Führt fehlgeschlagene gültige und ungültige Benutzer-Loginversuche in seperaten Dateien, so dass es einfach ist zu sehen, welcher gültige Benutzer angegriffen wird (was Ihnen die Gelegenheit gibt den Account zu löschen, das Passwort zu ändern oder seine Standard-Shell zu etwas wie sbin/nologin zu ändern.
Nach jedem Durchlauf wird das Skript die bisher gespeicherten Daten laden und wieder verwenden um neue Fehlschläge hinzuzufügen.
Löst IP-Adressen in Hostnamen auf, wenn verfügbar (neu in v0.6.0).
Einträge in /etc/hosts.deny können zu einer Benutzer definierten Zeit außer Kraft gesetzt werden (neu in 0.8).

Bitte schauen Sie für weitere Details in das FAQ.

Installation und Konfiguration von DenyHosts

Das Tool DenyHosts ist in diesen Repositories vorhanden:

Version: 13.1http://download.opensuse.org/repositories/network:/utilities/openSUSE_13.1/

Version: 12.3http://download.opensuse.org/repositories/network:/utilities/openSUSE_12.3/

Version: 12.2http://download.opensuse.org/repositories/network:/utilities/openSUSE_12.2/

Sie müssen dieses Repository in Yast hinzufügen und es dann installieren mit

sudo zypper in denyhosts

Siehe auch

SuSEfirewall2

Externe Links