インストール
wget http://jaist.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz
tar zxvf ./DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
設定
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
- SECURE_LOG = /var/log/secure
- HOSTS_DENY = /etc/hosts.deny
- PURGE_DENY =
- PURGE_THRESHOLD =
- BLOCK_SERVICE =
- DENY_THRESHOLD_INVALID =
- DENY_THRESHOLD_VALID =
- DENY_THRESHOLD_ROOT =
- ADMIN_EMAIL =
- SMTP_HOST =
- SMTP_PORT =
- SMTP_USERNAME=
- SMTP_PASSWORD=
- SMTP_FROM =
- SMTP_SUBJECT =
- AGE_RESET_VALID =
- AGE_RESET_ROOT =
- AGE_RESET_INVALID =
- RESET_ON_SUCCESS =
セキュリティログの場所。
特に、sshdのエラー関係が記録されるログファイル。
拒否ホストの情報が書かれているファイル。
一旦拒否アドレスに追加したとき、その拒否を解除するまでの時間。
m(分)h(時間)d(日)w(週間)y(年間)のオプションを付けます。
何回拒否アドレスに追加されたら、「永久拒否アドレス」(解除しない)にするか。
どのサービスへのアクセスを拒否するか。
ALLにすれば、全てのサービス、sshdにすれば、sshでのアクセスを拒否。
何回認証失敗したら拒否リストへ入れるか。
これは、システムに登録されていないユーザを使った場合の設定。
これは、システムに存在するユーザ(つまり、パスワードが違う)を使った場合。
あまり少なくすると、パスワード打ち間違いが何度かあったときに自分までロックされる。
これは、rootで認証に失敗した場合。
rootでいきなりログインできるようにはしていないと思いますが・・・。
ここを1にしておくと、間違えてrootで認証かけてしまったときに、自分が拒否リストに入ってしまう。
拒否リストへ追加されたホストの情報をメールで送信する場合、その送信先アドレス。
上記メールの送信サーバとポート番号
メール送信にユーザ名とパスワードが必要な場合。
メールの差出人
メールのタイトル(件名)
認証失敗(拒否アドレスにはまだ追加されていない)からここで設定した日数経過すると、カウントが0になって、また1回目の認証になる。
これは、システムに登録されているユーザ名での場合。
これは、rootの場合。
これは、システムに登録されていないユーザ名での場合。
ここをyesにしておくと、認証失敗しても、(拒否アドレスに追加されるまでなら)認証に成功したら認証失敗のカウントがリセットされる。
noにしておくと、認証に成功しても先回の認証失敗は指定(AGE_RESET_XXX)期間中カウントされている。
起動
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control
cd /etc/rc.d/init.d/
ln -s /usr/share/denyhosts/daemon-control denyhosts
/etc/rc.d/init.d/denyhosts start
0 コメント:
コメントを投稿