Denyhosts SSH Security
Denyhosts – SSH vasitəsi ilə sistemə daxil olma cəhdlərini izləyir. Əgər uğursuz cəhdlər qeyd olunarsa, onda həmin İP-ni /etc/hosts.deny faylına əlavə olunur. İP bu faylda qaldığı müddətcə sistemə daxil olmanı blok edir. Uğursuz cəhdin sayını və /etc/hosts.deny faylında İP-nin neçə müddət qalmağının sazzlanmasına baxaq
Bu layihəni tetbiq etməzdən öncə serverə daimi qoşulacaq İP-ni allow-hosta əlavə etməyi unutmayın!
ilk öncə denyhostu dayandırırıq, İP-ni allow-hosta əlavə edirik və yenidən denyhostu işlədirik
[root@mail ~]# systemctl stop denyhosts [root@mail ~]# echo "IP address" >> /etc/hosts.allow [root@mail ~]# systemctl start denyhosts
İlk növbədə EPEL(Extra Packages for Enterprise Linux) repositoriyasını yükləyirik. EPEL-proqram toplusunu özündə cəmləyən repositoriyadır.
[root@mail ~]# yum -y install epel-release Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: mirror.corbina.net * epel: ftp.cuhk.edu.hk * extras: mirror.corbina.net * updates: mirror.corbina.net Resolving Dependencies --> Running transaction check --> Package epel-release.noarch 0:7-6 will be updated --> Package epel-release.noarch 0:7-8 will be an update --> Finished Dependency Resolution
EPEL-yüklədikdən sonra, Denyhostu yükləyirik. Məndə artıq hazırdır və belə məlumat çıxır
[root@mail ~]# yum -y install denyhosts Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: mirror.corbina.net *epel: ftp.cuhk.edu.hk * extras: mirror.corbina.net * updates: mirror.corbina.net Package denyhosts-2.9-4.e17.noarch already installed and latest version Nothing to do
Denyhostu yüklədikdən sonra sazzlamaları /etc/denyhosts.conf faylında icra edə bilərik
# /etc/denyhosts.conf
SECURE_LOG = /var/log/auth.log
HOSTS_DENY = /etc/hosts.deny
Biz bu bölmədə bloka düşmüş İP-nin neçə müddətdən sonra azad olmasını seçə bilərik. Gördüyümüz kimi dəqiqə, saat, gün, həftə və il seçimləri var. İstədiyimiz vaxtı seçib, istədiyimiz müddətcə İP-ni blokda saxlaya bilərik
Burda isə uğursuz daxil olmaq cəhdlərinin sayını seçə bilərik. Misalda gördüyümüz kimi 2-uğursuz cəhddən sonra İP blok olunacaq
Əsas sazzlamalardan da biri root-ilə daxil olma cəhdini minimum azaltmaqdır. Nümunədə də gördüyümüz kimi root istifadəçi ilə 1-uğursuz giriş olsa İP-blok olunacaq
İndi isə Denyhostu test edək. Sazzlamalar Server-də olunub. Clint maşından Serverə qoşulmağa cəhd edəcəyik
Client (andy): 192.168.176.133
Server(alice): 192.168.176.132
Gördüyümüz kimi uğursuz cəhdlərdən sonra,yenidən qoşulmaq olmur
İndi isə Server-192.168.176.132-də /etc/hosts.deny Clientin ip-sini görəcəyik
[root@mail alice]# ip addr 1: lo: <L00PBACK,UP,L0WER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eno16777736: <BROADCAST,MULTICAST,UP,L0WER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:a6:eb:aa brd ff :ff :ff :ff :ff :ff inet 192.168.176.132/24 brd 192.168.176.255 scope global eno16777736 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fea6:ebaa/64 scope link valid_lft forever preferred_lft forever [root@mail alice]# cat /etc/hosts.deny # hosts.deny Tliis file contains access rules which are used to deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.a 1 low with a 'deny' option instead, # # # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax, # See 'man tcpd' for information on tcp_wrappers # # DenyHosts: Mon Oct 24 18:25:15 2016 i sshd: 192.168.176.133 # DenyHosts: Mon Oct 24 19:27:49 2016 i sshd: 192.168.176.133 sshd: 192.168.176.133 [root@mail alicel]#
Əgər biz /etc.hosts.deny faylından İP-ni silsək, Client yenidən serverə qoşulmaq imkanı olacaq.
Bu məqaləmizdə bu qədər.
Uğurlar!
Şərhlər ( 3 )
Faydalı mövzüdür Nicat, həmçinin burada mail vasitəsi ilə xəbərdarlıq göndərməkdə mümkündür. təşəkkürlər !
Nicat təşəkkürlər.
Davamlı olmasını arzulayırıq.
Uğurlar.
Var olun