/var/log/secure
を監視して不正アクセスに対して
/etc/hosts.deny
に自動的に登録して、アクセス拒否を行うプログラムです
・インストール方法 yum リポジトリとして epel が登録されてない場合は、まず epel を登録。
※既にepel が登録されている場合は、作業の必要は無しです。次のyum install に進んでください
$ sudo rpm –import http://download.fedora.redhat.com/pub/epel/RPM-GPG-KEY-EPEL-6
$ sudo rpm -Uvh http://download.fedora.redhat.com/pub/epel/6/x86_64/epel-release-6-5.noarch.rpm
yum で denyhosts をインストール
$ sudo yum install denyhosts
denyhosts を起動し、自動起動の設定を行う
$ sudo /etc/init.d/denyhosts start
$ sudo /sbin/chkconfig denyhosts on
アクセスを許可しておきたいIP アドレスは
/var/lib/denyhosts/allowed-hosts
もしくは
/etc/hosts.allow
に記述します。
不正アクセスを検知した場合
/etc/hosts.deny
に追記されます。
dovecot-auth や vsftpd に対して規制を行う場合は、 /etc/denyhosts.conf に
BLOCK_SERVICE = ALL SSHD_FORMAT_REGEX=.* (sshd.*:|\[sshd\]|dovecot-auth.*:|vsftpd.*:) (?P<message>.*)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* ruser=(?P<user>\S+) rhost=(?P<host>\S+)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P<host>\S+)\s+user=(?P<user>\S+).*
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P<host>\S+).*
を追加します。