Plik konfiguracyjny mieści się w
/etc/denyhosts.conf
w nim będziemy dokonywać całą konfigurację programu, na początek najważniejsza opcja
SECURE_LOG
odpowiada za ścieżkę do logów SSH
HOSTS_DENY
opcja tyczy się również położenia pliku z logami, jeśli instalowaliśmy program z paczki (np. pod Debianem) to nie trzeba tych dwóch pierwszych opcji modyfikować
PURGE_DENY
odpowiada za czas po jakim IP będą odblokowywane, jeśli opcja jest bez parametrów to oznacza to, że nigdy
BLOCK_SERVICE
tutaj ustawiamy czy blokowany ma być dostęp tylko do SSH czy do wszystkich usług serwera, standardowo opcja jest ustawiona na ALL, czyli blokowanie dostępu do wszystkich usług
DENY_THRESHOLD_INVALID
po ilu nieudanych próbach logowania na konta których nie ma w /etc/passwd (ogólnie mówiąc plik z listą kont w systemie) ma być blokowany dostęp, jest to opcja zabezpieczająca przeciw atakom słownikowym
DENY_THRESHOLD_VALID
natomiast ta opcja odpowiada za ilość prób logowania na konta, które istnieją w /etc/passwd
DENY_THRESHOLD_ROOT
ilość prób logowania na konto root (główne konto administratora systemu)
DENY_THRESHOLD_RESTRICTED
odpowiada za ilość prób logowania na konta znajdujące się w /var/lib/denyhosts/restricted-usernames (standardowo), polecam ustawić wartość 1, a do pliku /var/lib/denyhosts/restricted-username dopisać konta, które nigdy nie powinny mieć możliwości logowania na SSH np. mysql, więcej tutaj
ADMIN_EMAIL
tutaj możemy ustawić adres e-mail admina na który mają dochodzić powiadomienia o blokowaniu danego IP, raczej nie polecam ustawiania tej opcji na większych serwerach :-), wszystkie opcje zaczynające się od
SMTP_
odpowiadają za sposób wysyłania poczty i dane konta z którego będzie wysyłane powiadomienie o blokadzie, natomiast wszystkie opcje zaczynające się od
AGE_RESET_
odpowiadają za czas naliczania prób logowania
SYNC_SERVER
bardzo przydatna opcja pozwalająca na synchronizację bazy blokowanych adresów IP, szczerze polecam
SYNC_INTERVAL
czas co ile lista będzie synchronizowana baza
SYNC_UPLOAD
czy program ma wysyłać zablokowane przez nasz serwer adresy IP
SYNC_DOWNLOAD
czy program ma ściągać listę IP zablokowanych adresów przez innych użytkowników programu, polecam obie powyższe opcje włączyć (yes)
SYNC_DOWNLOAD_THRESHOLD
bardzo ważna opcja, ile różnych serwerów musi wysłać dane IP, żeby zostało zablokowane na naszym serwerze, polecam wartość 3 lub więcej, to by było na tyle w temacie konfiguracji DenyHosts :).
