DenyHosts

DenyHosts überprüft das Authentikationslog auf neue, fehlgeschlagene Login-Versuche. DenyHosts filtert aus den Log-Einträgen die Quell-IP-Adresse und überprüft, wie oft eine IP versucht hat, sich einzuloggen. Wird eine benutzerdefinierte Zahl überschritten, so nimmt DenyHosts eine Wörterbuchattacke an und blockiert die IP-Adresse, um einen eventuellen Erfolg zu verhindern, indem es die IP in die /etc/hosts.deny einträgt. Im Internet lassen sich blockierte IPs einsehen.[1]

DenyHosts kann manuell, als Daemon und als cron-Job betrieben werden.

Im Juli 2007 berichtete The Register, dass von Mai bis Juli 2007 "kompromittierte Computer" bei Oracle UK unter den 10 größten Brute-Force-Quell-IPs gelistet waren. Nach einer eingeleiteten Untersuchung wies Oracle jegliche Infektion derer Computer zurück.[2] Daniel B. Cid schrieb einen Aufsatz, in dem er zeigte, dass DenyHosts, ähnlich wie BlockHosts und Fail2ban, verwundbar gegenüber Remote Log Injection waren, einem Angriff ähnlich wie SQL Injection, bei der ein speziell dazu angelegter Benutzer dazu benutzt wird, eine Blockierung gegenüber beliebigen Seiten zu erreichen.[3] Diese Sicherheitslücke wurde mit Version 2.6 geschlossen.[4]

• Fail2ban
• Secure Shell
• OpenSSH

• DenyHosts-Website
• OpenSUSE-Seite über DenyHosts
• Blue Box-Seite über das Installieren von DenyHosts (Memento vom 17. Dezember 2012 im Webarchiv archive.today)

1. DenyHosts Statistical Summary (Memento vom 10. Juni 2019 im Internet Archive) denyhosts.net, abgerufen am 16. November 2023.
2. John Leyden: Oracle refutes 'SSH hacking' slur. Mystery over bogus DenyHosts listing The Register vom 21. Juli 2007, abgerufen am 18. September 2018.
3. Daniel B. Cid: Attacking Log Analysis tools, abgerufen am 18. September 2018.
4. DenyHosts, Changelog