我的服务器是Linux的，使用SSH Secure File Transfer Client这个软件，请问怎么修改登录密码？

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80， *** tp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。

1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。

3、关掉25端口：关闭Simple Mail Transport Protocol ( *** TP)服务，它提供的功能是跨网传送电子邮件。

4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。

5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听 *** 是在“ *** 和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80， *** tp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。

“控制面板”的“管理工具”中的“服务”中来配置。

1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。

3、关掉25端口：关闭Simple Mail Transport Protocol ( *** TP)服务，它提供的功能是跨网传送电子邮件。

4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。

5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。

关闭139口听 *** 是在“ *** 和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。

非法入侵的方式

简单说来，非法入侵的方式可粗略分为4种：

1、扫描端口，通过已知的系统Bug攻入主机。

2、种植木马，利用木马开辟的后门进入主机。

3、采用数据溢出的手段，迫使主机提供后门进入主机。

4、利用某些软件设计的漏洞，直接或间接控制主机。

非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过之一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。

因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。

端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的 *** 管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？

限制端口的 ***

对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供 *** 服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放，其他的端口则全部关闭。

这里，对于采用Windows 2000或者Windows XP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下：

1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。

2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击[属性]按钮。

3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。

4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上(请见附图)。

这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。

添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。

如果只上网浏览的话，可以不添加任何端口。但是要利用一些 *** 联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的 *** 工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。

参考资料：

ssh 客户端 哪个好

Windows Phone 7的SSH客户端！

可以远程控制你的服务器,连接到您的服务器阅读邮件，管理服务器，使用执行irssi,甚至扮演 *** 黑客和ADOM！功能包括：私钥身份验证，不同的字体类型和大小，为每个连接的自定义设置，屏幕上的键盘和实体键盘的支持，可定制的绘制速度和锁屏下运行。

功能包括：

- 支持多个连接！

- 对于每个连接的自定义设置：

- 6个不同的自定义手势！ （轻弹左侧，捺右，快速向上滑动手指，向下滑动，双击屏幕和Hold）

- 可定制9个剪贴板更容易发挥在NetHack

- 可定制的应用程序栏按钮和菜单项

- 登录后运行的指令选项（如屏幕-RD）

- 支持按Ctrl，Esc键，Tab键，光标键，功能键和自定义组合

- 私人密钥认证

- 不同的字体类型和大小

- 6个不同的调色板和定制调色板！

- 可定制的前景和背景颜色

- 在屏幕上和实体键盘支持

- 支持锁屏下运行

- URL解析和即时浏览器视图链接，并返回至连接！

- 复制文本到剪贴板

- 从剪贴板（或自己在文本类型）粘贴文本

- 肖像模式

- 支持固定到实时瓷砖

- Backlog的支持

- 支持UTF8

要求

系统要求： wp7.0、wp7.8、wp8.0

如何使用SSH搭建本地 ***

使用 *** 服务器上网：

HTTP *** 服务器的设置 *** ，对于IE和FireFox设置略有不同。设置前需要先找一些可用的免费 *** 服务器地址。

IE的设置，打开IE浏览器，选择菜单栏的“工具/Internet选项...”。

这时候分两种情况，对于ADSL拨号用户来说，选择一个 *** 连接后，点“设置，选中 *** 服务器，填入地址和端口号。

对于局域网用户来说，需要点“局域网设置”，选中 *** 服务器，填入地址和端口号。

FireFox的设置和IE类似，打开FireFox浏览器，选择菜单栏的“工具/选项...”。

这时选择“高级/ *** ”，点设置，就出现下面的界面，就可以进行 *** 服务器的设置了，选中“手动配置 *** ”，然后填写 *** 服务器的地址和端口。

使用SOCKS *** 服务器

SOCKS *** 是目前功能最为全面，使用最为稳定的 *** 服务器，我目前上网就只用SSH搭建SOCKS *** 服务器上网，访问 *** 没有任何限制。

用SSH搭建SOCKS *** 上网，建议使用Firefox浏览器，因为Firefox支持SOCKS *** 远程域名解析，而IE只能通过类似SocksCap这样的第三方软件实现，不是很方便。

配置Firefox浏览器

在Firefox设置SOCKS远程域名解析，主要是为了防止DNS污染，具体设置 *** 是，在Firefox地址栏中，输入 about:config ，按确认，修改里面的一项数值，改成 network.proxy.socks_remote_dns=true 就可以了。

然后，打开FireFox浏览器，选择菜单栏的“工具/选项...”。选择“高级/ *** ”，点设置，就出现下面的界面，就可以进行 *** 服务器的设置了，选中“手动配置 *** ”，然后在SOCKS主机上，填写 *** 服务器的地址127.0.0.1，端口1080，SOCKS类型选择“SOCKS V5”，这时Firefox就配置结束。

设置SSH

配置好了Firefox，接着配置SSH了，安全外壳协议（Secure Shell Protocol / SSH）是一种在不安全 *** 上提供安全远程登录及其它安全 *** 服务的协议。常用的SSH工具有开源软件PuTTY，支持SSH远程登录的主机可以实现socks5 *** 服务器的功能，不过在PuTTY中没有配置文件，需要手动设置才能实现，且无法保存，而PuTTY完整版自带的pLink可以实现命令行方式调用PuTTY实现SSH的加密通道。

具体的 *** 是，去PuTTY官方网站下载pLink这个文件，pLink的调用参数是：plink -C -v -N -pw 密码 -D 本地端口 远程用户@IP或域名:远程希望打开的端口。

新建一个文件，写入以下内容，另存为pLink.bat批处理文件，并放在Putty的安装目录内。

@plink -N Username@sshServer -pw Password -D 127.0.0.1:1080

将Username sshServer Password三处改为陆SSH服务器的用户名、服务器地址和密码。这个SSH帐号可以通过多种 *** 获得，例如用户购买了某些国外主机空间或VPS就会有SSH帐号，。

执行这个批处理文件，保持其窗口开启，一旦关闭窗口 *** 便失效。然后打开已经配置好127.0.0.1:1080的Socks5 *** 的Firefox浏览器，就可以使用SOCKS *** 服务器上网了。

知识拓展：

*** 服务器

*** 服务器（Proxy Server）是网上提供转接功能的服务器，在一般情况下，使用 *** 浏览器直接去连接其他Internet站点取得 *** 信息时，是直接联系到目的站点服务器，然后由目的站点服务器把信息传送回来。 *** 服务器是介于客户端和Web服务器之间的另一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向 *** 服务器发出请求，信号会先送到 *** 服务器，由 *** 服务器来取回浏览器所需要的信息并传送给你的浏览器。

比如想访问的目的网站是A，由于某种原因不能访问到网站A或者不想直接访问网站A（这样通过 *** 服务器网站A，对网站A而已可以隐藏身份，也就是不知道是谁访问的网站，而认为是 *** 服务器访问的），此时就可以使用 *** 服务器，在实际访问网站的时候，在浏览器的地址栏内和以前一样输入你要访问的网站，浏览器会自动先访问 *** 服务器，然后 *** 服务器会自动给转接到目标网站。

*** 服务器作用

提高访问速度：通常 *** 服务器都设置一个较大的缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。

隐藏真实身份：上网者也可以通过 *** 服务器隐藏自己的真实地址信息，还可隐藏自己的IP，防止被黑客攻击。

突破限制：有时候 *** 供应商会对上网用户的端口，目的网站，协议，游戏，即时通讯软件等的限制，使用 *** 服务器都可以突破这些限制。

*** 服务器主要类型

HTTP *** ：最简单的一种 *** 形式，能够 *** 客户机的HTTP访问，上网浏览网页使用的都是HTTP协议，通常的HTTP *** 端口为80、3128或8080端口。

SOCKS *** ：SOCKS *** 与HTTP等其他类型的 *** 不同，它只是简单地传递数据包，而并不关心是何种应用协议，既可以是HTTP协议，也可以是FTP协议，或者其他任何协议，所以SOCKS *** 服务器比其他类型的 *** 服务器速度要快得多。SOCKS *** 又分为SOCKS4和 SOCKS5，二者不同的是SOCKS4 *** 只支持TCP协议（即传输控制协议），而SOCKS5 *** 则既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端远程域名解析（解决DNS污染就靠这个了）等。SOCK4能做到的SOCKS5都可得到，但SOCKS5能够做到的SOCKS则不一定能做到。目前SOCKS5是最常用的一种SOCKS *** 。

黑客常用攻击手段及其预防措施有那些?

黑客常用攻击手段揭秘及其预防措施介绍

目前造成 *** 不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机 *** 操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。 *** 互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

由此可见，针对系统、 *** 协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证 *** 安全、可靠，则必须熟知黑客 *** 攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保 *** 运行的安全和可靠。

一、黑客攻击 *** 的一般过程

1、信息的收集

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在 *** 系统中的各个主机系统的相关信息:

(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的 *** 数和路由器数。

(2)SNMP协议 用来查阅 *** 系统路由器的路由表，从而了解目标主机所在 *** 的拓扑结构及其内部细节。

(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

2、系统安全弱点的探测

在收集到一些准备要攻击目标的信息后，黑客们会探测目标 *** 上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下:

(1)自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。

(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

二、协议欺骗攻击及其防范措施

1、源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下:首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段)，只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击:

(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

(2)使用加密 *** 在包发送到 *** 上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的 *** 环境，但它将保证数据的完整性、真实性和保密性。

(3)进行包过滤 可以配置路由器使其能够拒绝 *** 外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部 *** 的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声

以CentOS为例总结如何配置SSH安全访问

而为了节省成本或提高性能，不少人的独机和 VPS，都是基于 unmanaged 的裸机，一切都要自己 DIY。这时候，安全策略的实施，就犹为重要。下面这篇文章，我以 CentOS 为例，简单地总结一下如何配置 SSH 安全访问。 Linux SSH 安全策略一：关闭无关端口 *** 上被攻陷的大多数主机，是黑客用扫描工具大范围进行扫描而被瞄准上的。所以，为了避免被扫描到，除了必要的端口，例如 Web、FTP、SSH 等，其他的都应关闭。值得一提的是，我强烈建议关闭 icmp 端口，并设置规则，丢弃 icmp 包。这样别人 Ping 不到你的服务器，威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中， 加入下面这样一条： -A INPUT -p icmp -j DROP Linux SSH 安全策略二：更改 SSH 端口 默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改 *** ： # 编辑 /etc/ssh/ssh_config vi /etc/ssh/ssh_config # 在 Host * 下 ，加入新的 Port 值。以 18439 为例（下同）： Port 22 Port 18439 # 编辑 /etc/ssh/sshd_config vi /etc/ssh/sshd_config #加入新的 Port 值 Port 22 Port 18439 # 保存后，重启 SSH 服务： service sshd restart 这里我设置了两个端口，主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如：Putty)的连接端口，测试连接，如果新端口能连接成功，则再编辑上面两个文件，删除 Port 22 的配置。如果连接失败，而用 Port 22 连接后再重新配置。 端口设置成功后，注意同时应该从 iptables 中， 删除22端口，添加新配置的 18439，并重启 iptables。 如果SSH 登录密码是弱密码，应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章：Does your password pass the test? Linux SSH 安全策略三：限制 IP 登录 如果你能以固定 IP 方式连接你的服务器，那么，你可以设置只允许某个特定的 IP 登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下： # 编辑 /etc/hosts.allow vi /etc/hosts.allow # 例如只允许 123.45.67.89 登录 sshd:123.45.67.89 Linux SSH 安全策略四: 使用证书登录 SSH 相对于使用密码登录来说，使用证书更为安全。自来水冲咖啡有写过一篇详细的教程，征得其同意，转载如下： 为CentOS配置SSH证书登录验证 帮公司网管远程检测一下邮件服务器，一台CentOS 5.1，使用OpenSSH远程管理。检查安全日志时，发现这几天几乎每天都有一堆IP过来猜密码。看来得修改一下登录验证方式，改为证书验证为好。 为防万一，临时启了个VNC，免得没配置完，一高兴顺手重启了sshd就麻烦了。（后来发现是多余的，只要事先开个putty别关闭就行了） 以下是简单的操作步骤： 1）先添加一个维护账号：msa2）然后su - msa3）ssh-keygen -t rsa指定密钥路径和输入口令之后，即在/home/msa/.ssh/中生成公钥和私钥：id_rsa id_rsa.pub4）cat id_rsa.pub authorized_keys至于为什么要生成这个文件，因为sshd_config里面写的就是这个。然后chmod 400 authorized_keys，稍微保护一下。5）用psftp把把id_rsa拉回本地，然后把服务器上的id_rsa和id_rsa.pub干掉6）配置/etc/ssh/sshd_configProtocol 2ServerKeyBits 1024PermitRootLogin no #禁止root登录而已，与本文无关，加上安全些#以下三行没什么要改的，把默认的#注释去掉就行了RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication noPermitEmptyPasswords no7）重启sshd/ *** in/service sshd restart8）转换证书格式，迁就一下putty运行puttygen，转换id_rsa为putty的ppk证书文件9）配置putty登录在connection--SSH--Auth中，点击Browse,选择刚刚转换好的证书。然后在connection-Data填写一下auto login username，例如我的是msa在session中填写服务器的IP地址，高兴的话可以save一下10）解决一点小麻烦做到这一步的时候，很可能会空欢喜一场，此时就兴冲冲的登录，没准登不进去：No supported authentication methods available这时可以修改一下sshd_config，把PasswordAuthentication no临时改为：PasswordAuthentication yes 并重启sshd这样可以登录成功，退出登录后，再重新把PasswordAuthentication的值改为no，重启sshd。以后登录就会正常的询问你密钥文件的密码了，答对了就能高高兴兴的登进去。至于psftp命令，加上个-i参数，指定证书文件路径就行了。 如果你是远程操作服务器修改上述配置，切记每一步都应慎重，不可出错。如果配置错误，导致 SSH 连接不上，那就杯具了。 基本上，按上述四点配置好后，Linux 下的 SSH 访问，是比较安全的了。

如何使用 DenyHosts 来阻止 SSH暴力攻击

Denyhosts是一个Linux系统下阻止暴力破解SSH密码的软件，它的原理与DDoS Deflate类似，可以自动拒绝过多次数尝试SSH登录的IP地址，防止互联网上某些机器常年破解密码的行为，也可以防止黑客对SSH密码进行穷举。

众所周知，暴露在互联网上的计算机是非常危险的。并不要因为网站小，关注的人少或不惹眼就掉以轻心：互联网中的大多数攻击都是没有目的性的，黑客们通过大范围IP端口扫描探测到可能存在漏洞的主机，然后通过自动扫描工具进行穷举破解。笔者的某台服务器在修改SSH 22号端口之前，平均每天接受近百个来自不同IP的连接尝试。而DenyHosts正是这样一款工具。下文将对该工具的安装与使用 *** 进行介绍。

DenyHosts阻止攻击原理

DenyHosts会自动分析 /var/log/secure 等安全日志文件，当发现异常的连接请求后，会自动将其IP加入到 /etc/hosts.deny 文件中，从而达到阻止此IP继续暴力破解的可能。同时，Denyhosts还能自动在一定时间后对已经屏蔽的IP地址进行解封，非常智能。

官方网站

Denyhosts的官方网站为：http://denyhosts.sourceforge.net/ （杜绝Putty后门事件，谨记安全软件官网）

安装 ***

1、下载DenyHosts源码并解压（目前最新版为2.6）

1 [root@www ~]# wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz

2 [root@www ~]# tar zxvf DenyHosts-2.6.tar.gz

3 [root@www ~]# cd DenyHosts-2.6

2、安装部署

1 [root@www DenyHosts-2.6]# yum install python -y

2 [root@www DenyHosts-2.6]# python setup.py install

3、准备好默认的配置文件

1 [root@www DenyHosts-2.6]# cd /usr/share/denyhosts/

2 [root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg

3 [root@www denyhosts]# cp daemon-control-dist daemon-control

4、编辑配置文件denyhosts.cfg

1 [root@www denyhosts]# vi denyhosts.cfg

该配置文件结构比较简单，简要说明主要参数如下：

PURGE_DENY：当一个IP被阻止以后，过多长时间被自动解禁。可选如3m（三分钟）、5h（5小时）、2d（两天）、8w（8周）、1y（一年）；

PURGE_THRESHOLD：定义了某一IP最多被解封多少次。即某一IP由于暴力破解SSH密码被阻止/解封达到了PURGE_THRESHOLD次，则会被永久禁止；

BLOCK_SERVICE：需要阻止的服务名；

DENY_THRESHOLD_INVALID：某一无效用户名（不存在的用户）尝试多少次登录后被阻止；

DENY_THRESHOLD_VALID：某一有效用户名尝试多少次登陆后被阻止（比如账号正确但密码错误），root除外；

DENY_THRESHOLD_ROOT：root用户尝试登录多少次后被阻止；

HOSTNAME_LOOKUP：是否尝试解析源IP的域名；

大家可以根据上面的解释，浏览一遍此配置文件，然后根据自己的需要稍微修改即可。

5、启动Denyhosts

1 [root@www denyhosts]# ./daemon-control start

如果需要让DenyHosts每次重启后自动启动，还需要：

6、设置自动启动

设置自动启动可以通过两种 *** 进行。

之一种是将DenyHosts作为类似apache、mysql一样的服务，这种 *** 可以通过 /etc/init.d/denyhosts 命令来控制其状态。 *** 如下：

1 [root@www denyhosts]# cd /etc/init.d

2 [root@www init.d]# ln -s /usr/share/denyhosts/daemon-control denyhosts

3 [root@www init.d]# chkconfig --add denyhosts

4 [root@www init.d]# chkconfig -level 2345 denyhosts on

第二种是将Denyhosts直接加入rc.local中自动启动（类似于Windows中的“启动文件夹”）：

1 [root@www denyhosts]# echo '/usr/share/denyhosts/daemon-control start' /etc/rc.local

如果想查看已经被阻止的IP，打开/etc/hosts.deny 文件即可。