我最近在来自几台服务器的日志监视电子邮件中注意到,尽管 denyhosts 正在执行一些强力 root ssh 登录尝试,但其他尝试似乎被忽略,并继续以每天 1000 次的尝试来困扰 SSH。我已经sshd_config设置好PermitRootLogin no了,所以不是一个很大的担心,但仍然是一个担忧......
经过一番调查后,我注意到 logwatch 也警告我无与伦比的参赛作品对于这些相同的 IP,它们均采用以下形式:
PAM {X} more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost={SUSP.NET.IP.ADDR} user=root : {MANY} time(s)
而被禁止的 IP 则没有这些条目。
一些搜索被拉起DenyHosts 邮件列表上的此交换从今年一月开始,这表明至少还有另一个人注意到了这个问题,但没有解决方案。
从头到尾阅读完常见问题解答后,我考虑了DenyHosts/regex.py我也许可以更改conf文件中的REGEX。在我看来,默认的正则表达式应该已经匹配其他日志文件中有关通过拒绝主机抓取的 IP 的行;因此无论如何都会禁止它,但这似乎并没有发生。
因此,在我拿出我的 Python 帽子之前,我认为可能值得在这里发帖,看看其他人是否已经遇到并解决了这个问题。
CentOS 6.5
Python 2.6.6-52.el6
EPEL DenyHosts 2.6-20.el6
更多的调查让我发现原来的 SF DenyHosts 项目没有响应,并且已经被分叉了 - Fedora 已经从新的分叉中更新了软件包,但这些还没有到达 EPEL...