- 6 May 2013
- 973
- 0
Denyhosts SSH vasitəsi ilə sistemə daxil olma cəhdlərini izləyir. Əgər uğursuz cəhdlər qeyd olunarsa, onda həmin İP-ni /etc/hosts.deny faylına əlavə olunur. İP bu faylda qaldığı müddətcə sistemə daxil olmanı blok edir. Uğursuz cəhdin sayını və /etc/hosts.deny faylında İP-nin neçə müddət qalmağının sazzlanmasına baxaq
Bu layihəni tetbiq etməzdən öncə serverə daimi qoşulacaq İP-ni allow-hosta əlavə etməyi unutmayın!
ilk öncə denyhostu dayandırırıq, İP-ni allow-hosta əlavə edirik və yenidən denyhostu işlədirik
İlk növbədə EPEL(Extra Packages for Enterprise Linux) repositoriyasını yükləyirik. EPEL-proqram toplusunu özündə cəmləyən repositoriyadır.
EPEL-yüklədikdən sonra, Denyhostu yükləyirik. Məndə artıq hazırdır və belə məlumat çıxır
Denyhostu yüklədikdən sonra sazzlamaları /etc/denyhosts.conf faylında icra edə bilərik
Biz bu bölmədə bloka düşmüş İP-nin neçə müddətdən sonra azad olmasını seçə bilərik. Gördüyümüz kimi dəqiqə, saat, gün, həftə və il seçimləri var. İstədiyimiz vaxtı seçib, istədiyimiz müddətcə İP-ni blokda saxlaya bilərik
Burda isə uğursuz daxil olmaq cəhdlərinin sayını seçə bilərik. Misalda gördüyümüz kimi 2-uğursuz cəhddən sonra İP blok olunacaq
AƏsas sazzlamalardan da biri root-ilə daxil olma cəhdini minimum azaltmaqdır. Nümunədə də gördüyümüz kimi root istifadəçi ilə 1-uğursuz giriş olsa İP-blok olunacaq
İndi isə Denyhostu test edək. Sazzlamalar Server-də olunub. Clint maşından Serverə qoşulmağa cəhd edəcəyik
Client (andy): 192.168.176.133
Server(alice): 192.168.176.132
Gördüyümüz kimi uğursuz cəhdlərdən sonra,yenidən qoşulmaq olmur
İndi isə Server-192.168.176.132-də /etc/hosts.deny Clientin ip-sini görəcəyik
Əgər biz /etc.hosts.deny faylından İP-ni silsək, Client yenidən serverə qoşulmaq imkanı olacaq.
Bu layihəni tetbiq etməzdən öncə serverə daimi qoşulacaq İP-ni allow-hosta əlavə etməyi unutmayın!
ilk öncə denyhostu dayandırırıq, İP-ni allow-hosta əlavə edirik və yenidən denyhostu işlədirik
Kod:
---------------------- KOD ----------------------
[root@mail ~]# systemctl stop denyhosts
[root@mail ~]# echo "IP address" >> /etc/hosts.allow
[root@mail ~]# systemctl start denyhosts
İlk növbədə EPEL(Extra Packages for Enterprise Linux) repositoriyasını yükləyirik. EPEL-proqram toplusunu özündə cəmləyən repositoriyadır.
Kod:
---------------------- KOD ----------------------
[root@mail ~]# yum -y install epel-release
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirror.corbina.net
* epel: ftp.cuhk.edu.hk
* extras: mirror.corbina.net
* updates: mirror.corbina.net Resolving Dependencies
--> Running transaction check
--> Package epel-release.noarch 0:7-6 will be updated
--> Package epel-release.noarch 0:7-8 will be an update
--> Finished Dependency Resolution
EPEL-yüklədikdən sonra, Denyhostu yükləyirik. Məndə artıq hazırdır və belə məlumat çıxır
Kod:
---------------------- KOD ----------------------
[root@mail ~]# yum -y install denyhosts
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirror.corbina.net *epel: ftp.cuhk.edu.hk
* extras: mirror.corbina.net
* updates: mirror.corbina.net
Package denyhosts-2.9-4.e17.noarch already installed and latest version
Nothing to do
Denyhostu yüklədikdən sonra sazzlamaları /etc/denyhosts.conf faylında icra edə bilərik
Biz bu bölmədə bloka düşmüş İP-nin neçə müddətdən sonra azad olmasını seçə bilərik. Gördüyümüz kimi dəqiqə, saat, gün, həftə və il seçimləri var. İstədiyimiz vaxtı seçib, istədiyimiz müddətcə İP-ni blokda saxlaya bilərik
Burda isə uğursuz daxil olmaq cəhdlərinin sayını seçə bilərik. Misalda gördüyümüz kimi 2-uğursuz cəhddən sonra İP blok olunacaq
AƏsas sazzlamalardan da biri root-ilə daxil olma cəhdini minimum azaltmaqdır. Nümunədə də gördüyümüz kimi root istifadəçi ilə 1-uğursuz giriş olsa İP-blok olunacaq
İndi isə Denyhostu test edək. Sazzlamalar Server-də olunub. Clint maşından Serverə qoşulmağa cəhd edəcəyik
Client (andy): 192.168.176.133
Server(alice): 192.168.176.132
Gördüyümüz kimi uğursuz cəhdlərdən sonra,yenidən qoşulmaq olmur
İndi isə Server-192.168.176.132-də /etc/hosts.deny Clientin ip-sini görəcəyik
Kod:
---------------------- KOD ----------------------
[root@mail alice]# ip addr
1: lo: <L00PBACK,UP,L0WER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno16777736: <BROADCAST,MULTICAST,UP,L0WER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:a6:eb:aa brd ff :ff :ff :ff :ff :ff
inet 192.168.176.132/24 brd 192.168.176.255 scope global eno16777736
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fea6:ebaa/64 scope link
valid_lft forever preferred_lft forever
[root@mail alice]# cat /etc/hosts.deny
# hosts.deny Tliis file contains access rules which are used to
deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.a 1 low with a 'deny' option instead,
#
#
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax,
# See 'man tcpd' for information on tcp_wrappers
#
# DenyHosts: Mon Oct 24 18:25:15 2016 i sshd: 192.168.176.133
# DenyHosts: Mon Oct 24 19:27:49 2016 i sshd: 192.168.176.133
sshd: 192.168.176.133
[root@mail alicel]#
Əgər biz /etc.hosts.deny faylından İP-ni silsək, Client yenidən serverə qoşulmaq imkanı olacaq.