Kleines Denyhosts howto für ssh.

Denyhosts hilft auf einfache Weise dabei bruteforce-attacken zuerschweren oder abzuschwächen.
Dabei kann es für verschiedene Dienste konfiguriert werden.

Als erstes als root das Script installieren:

aptitude update && aptitude install denyhosts

Bzw.

apt-get update && apt-get install denyhosts

Das Script läuft nun bereits als Dienst im Hintergrund.
Als nächstes werden die Einstellungen unter /etc/denyhosts.conf als root vorgenommen.

nano /etc/denyhosts.conf
Dabei habe ich für mich die wichtigsten Einstellungen in der config angepasst und gleich kommentiert. Überwacht wird hierbei nur sshd.

# Gibt Zugriff für eine gesperrte IP nach 15min wieder frei.
# 'm' = Minuten; 'h' = Stunden; 'd' = Tage; 'w' = Wochen; 'y' = Jahre
PURGE_DENY = 15m

## Anzahl der Versuche vor einer Sperre
## Anmeldeversuch mit unbekannten USER
DENY_THRESHOLD_INVALID = 5
## Anmeldeversuch mit bekannten USER
DENY_THRESHOLD_VALID = 5
# Hier bietet sich an die gleiche Anzahl zunehmen. Ansonsten lässt sich anhand der Anzahl ggf. ermitteln welcher Username im System vorhanden ist.
## Anmeldeversuch als root (dieser sollte ja sshd-seitig schon unterbunden sein.
DENY_THRESHOLD_ROOT = 1

##email versand bei Sperrung (nur bei Funktionierender SMTP config)
ADMIN_EMAIL = meine@email.com
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts
SMTP_SUBJECT = DenyHosts Report

## wie oft das Script ausgeführt wird
DAEMON_SLEEP = 30s

## und ganz wichtig, wie oft geprüft werden soll ob Hosts wieder freigegeben werden sollen.
# Der Wert steht standardmäßig auf 1d -> bei einer Sperrdauer von 15minuten müsste man dennoch 1 #Tag warten
DAEMON_PURGE = 5m

Alle anderen Optionen in der Standard-config habe ich vorerst unangetastet gelassen. -> Die config hat am Ende mehr Optionen als oben in der Codebox aufgelistet sind.

Nach den Anpassungen das Script noch neustarten:

/etc/init.d/denyhosts restart

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.