如何限制限制SSH FORWARDING

安装 DenyHosts

配置 DenyHosts（有默认配置，可以按需修改）

检查安装环境： 判断系统安装的sshd是否支持tcp_wrappers（默认都支持）命令如下：ldd /usr/sbin/sshd |grep libwrap.so.0如果有输出：libwrap.so.0 => /lib64/libwrap.so.0 则为支持python -V 只要系统Python版本不小于2.3版本即可

下载并安装 DenyHostsdenyhosts安装很容易sudo apt-get install denyhosts程序下载完成后 Denyhosts 会自动安装和部署在你服务器或VPS上解压tar -zxvf DenyHosts-2.6.tar.gz安装cd DenyHosts-2.6python setup.py install程序脚本自动安装在：/usr/share/denyhosts目录 库文件安装在：/usr/lib/python2.6/site-packages/DenyHosts目录下 denyhosts.py默认安装在：/usr/bin/目录下

配置和使用打开配置文件 vim /etc/denyhosts.conf然后配置 DenyHosts（有默认配置，可以按需修改）

将denyhosts添加到系统服务并自动启动设置自启动vi /etc/rc.local添加至系统服务ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts chkconfig --add denyhosts chkconfig --level 345 denyhosts on

启动denyhostsservice denyhosts start查看denyhosts是否运行成功service denyhosts status显示：DenyHosts is running with pid = XXXX，即运行成功

设置黑白名单IP地址vim /etc/hosts.deny    //黑名单（拦截记录）   vim /etc/hosts.allow    //白名单一定切记将自己的IP地址设置为白名单，这会避免你将自己锁定出自己服务器的尴尬。打开你服务器或者VPS允许的主机名单sudo nano /etc/hosts.allow

想要解禁一个已经被禁止掉的 IP，并加入到允许主机列表，只在 /etc/hosts.deny 删除是没用的。需要进入 /var/lib/denyhosts 目录，进入以下操作：1、停止 DenyHosts 服务：$ sudo service denyhosts stop2、在 /etc/hosts.deny 中删除你想取消禁止的主机 IP3、编辑 DenyHosts 工作目录（配置文件中 WORK_DIR）的所有文件，一个个删除文件中你想取消的主机 IP 所在的行 /var/lib/denyhosts/hosts /var/lib/denyhosts/hosts-restricted /var/lib/denyhosts/hosts-root /var/lib/denyhosts/hosts-valid /var/lib/denyhosts/users-hosts不知道有哪些文件包含了这个 IP 地址，可以使用以下命令： $ sudo grep *.*.*.*(IP地址) /var/lib/denyhosts/* 搜索结果可能有 /var/lib/denyhosts/hosts /var/lib/denyhosts/hosts-restricted /var/lib/denyhosts/hosts-root /var/lib/denyhosts/hosts-valid /var/lib/denyhosts/users-hosts4、添加你想允许的主机 IP 地址到/var/lib/denyhosts/allowed-hosts在文件中的位置大概在这段代码下方： # We mustn’t block localhost 127.0.0.1 *.*.*.*   //你想添加允许的IP地址 # We mustn’t block localhost 127.0.0.1 *.*.*.*   //你想添加允许的IP地址5、启动 DenyHosts 服务： service denyhosts start6、如果不想自己解禁，可以等到一个重置周期后，自动解禁

找到任何一个攻击的IP地址记录 只需要查看hosts.deny文件 vi /etc/hosts.deny

上面就是Linux安装配置DenyHosts的方法介绍了，配置好DenyHosts工具后，你就能使用DenyHosts对日志文件进行分析了再好的防止攻击的手段，也总会有更加厉害的 hacker 攻破。所以说，绝对的安全是不可能存在的，我们可以做的就是定期更换安全性高的密码，注意个人隐私的保护，及时发现并修复漏洞，这就已经是很负责的自我保护了。