我的任务是编写一个安全策略,以应用于我们在客户站点部署的任何 ubuntu 服务器。了解到一些公司(尤其是银行)对其网络上的哪些设备可以使用哪些资源有限制,我一直在想。
让我解释一下,如果我理解得没错的话,denyhost 本身会连接到一个数据库(或多个数据库)来报告或获取所有“坏”IP。
第一个问题是该数据库是本地的还是存储在互联网上的某个主机上。
第二个问题与第一个问题相关。如果该数据库在线,那么它本身的安全性如何,不会被黑客入侵(攻击者可能会篡改数据库并删除其新 IP)
如果有人能解释一下,我将非常感激
答案1
DenyHosts 默认使用 /var/log/auth.log 来监控登录尝试。一旦某个 IP 被阻止,它就会被添加到几个文件中:
/etc/hosts.deny
/var/lib/denyhosts/hosts
/var/lib/denyhosts/hosts-root
/var/lib/denyhosts/hosts-valid
/var/lib/denyhosts/hosts-restricted
/var/lib/denyhosts/user-hosts
注意:如果您要对任何这些文件进行更改(例如删除被禁止的 IP),那么您应该首先关闭该服务。
$ sudo service denyhosts stop