Denyhosts SSH Security

Re-Design · 16 Şub 2017

Denyhosts SSH vasitəsi ilə sistemə daxil olma cəhdlərini izləyir. Əgər uğursuz cəhdlər qeyd olunarsa, onda həmin İP-ni /etc/hosts.deny faylına əlavə olunur. İP bu faylda qaldığı müddətcə sistemə daxil olmanı blok edir. Uğursuz cəhdin sayını və /etc/hosts.deny faylında İP-nin neçə müddət qalmağının sazzlanmasına baxaq

Bu layihəni tetbiq etməzdən öncə serverə daimi qoşulacaq İP-ni allow-hosta əlavə etməyi unutmayın!

ilk öncə denyhostu dayandırırıq, İP-ni allow-hosta əlavə edirik və yenidən denyhostu işlədirik

Kod:

---------------------- KOD ----------------------
[root@mail ~]# systemctl stop denyhosts
 
[root@mail ~]#  echo "IP address" >> /etc/hosts.allow
 
[root@mail ~]#  systemctl start denyhosts

İlk növbədə EPEL(Extra Packages for Enterprise Linux) repositoriyasını yükləyirik. EPEL-proqram toplusunu özündə cəmləyən repositoriyadır.

Kod:

---------------------- KOD ----------------------
[root@mail ~]# yum -y install epel-release
 
Loaded plugins: fastestmirror
 
Loading mirror speeds from cached hostfile
 
* base: mirror.corbina.net 
 
* epel: ftp.cuhk.edu.hk
 
* extras: mirror.corbina.net
 
* updates: mirror.corbina.net Resolving Dependencies
 
--> Running transaction check
 
--> Package epel-release.noarch 0:7-6 will be updated
 
--> Package epel-release.noarch 0:7-8 will be an update
 
--> Finished Dependency Resolution

EPEL-yüklədikdən sonra, Denyhostu yükləyirik. Məndə artıq hazırdır və belə məlumat çıxır

Kod:

---------------------- KOD ----------------------
  [root@mail  ~]# yum -y install denyhosts
 
Loaded plugins: fastestmirror
 
Loading mirror speeds from cached hostfile
 
* base: mirror.corbina.net *epel: ftp.cuhk.edu.hk
 
* extras: mirror.corbina.net
 
* updates: mirror.corbina.net
 
Package denyhosts-2.9-4.e17.noarch already installed and latest version
 
Nothing to do

Denyhostu yüklədikdən sonra sazzlamaları /etc/denyhosts.conf faylında icra edə bilərik

Biz bu bölmədə bloka düşmüş İP-nin neçə müddətdən sonra azad olmasını seçə bilərik. Gördüyümüz kimi dəqiqə, saat, gün, həftə və il seçimləri var. İstədiyimiz vaxtı seçib, istədiyimiz müddətcə İP-ni blokda saxlaya bilərik

Burda isə uğursuz daxil olmaq cəhdlərinin sayını seçə bilərik. Misalda gördüyümüz kimi 2-uğursuz cəhddən sonra İP blok olunacaq

AƏsas sazzlamalardan da biri root-ilə daxil olma cəhdini minimum azaltmaqdır. Nümunədə də gördüyümüz kimi root istifadəçi ilə 1-uğursuz giriş olsa İP-blok olunacaq

İndi isə Denyhostu test edək. Sazzlamalar Server-də olunub. Clint maşından Serverə qoşulmağa cəhd edəcəyik

Client (andy): 192.168.176.133

Server(alice): 192.168.176.132

Gördüyümüz kimi uğursuz cəhdlərdən sonra,yenidən qoşulmaq olmur

İndi isə Server-192.168.176.132-də /etc/hosts.deny Clientin ip-sini görəcəyik

Kod:

---------------------- KOD ----------------------
[root@mail alice]# ip addr
1: lo: <L00PBACK,UP,L0WER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
 
2: eno16777736: <BROADCAST,MULTICAST,UP,L0WER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:a6:eb:aa brd ff :ff :ff :ff :ff :ff
inet 192.168.176.132/24 brd 192.168.176.255 scope global eno16777736
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fea6:ebaa/64 scope link
valid_lft forever preferred_lft forever
 
[root@mail alice]# cat /etc/hosts.deny
 
# hosts.deny Tliis file contains access rules which are used to
deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.a 1 low with a 'deny' option instead,
#
#
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax,
# See 'man tcpd' for information on tcp_wrappers
#
# DenyHosts: Mon Oct 24 18:25:15 2016 i sshd: 192.168.176.133
# DenyHosts: Mon Oct 24 19:27:49 2016 i sshd: 192.168.176.133
sshd: 192.168.176.133
[root@mail alicel]#

Əgər biz /etc.hosts.deny faylından İP-ni silsək, Client yenidən serverə qoşulmaq imkanı olacaq.

Denyhosts SSH Security

Re-Design

Katılımcı Üye

Sosyal medya sayfalarımız