Merge commit 'puzzle/development'
[puppet_denyhosts.git] / files / denyhosts.conf
1        ############ THESE SETTINGS ARE REQUIRED ############
2
3 ########################################################################
4 #
5 # SECURE_LOG: the log file that contains sshd logging info
6 # if you are not sure, grep "sshd:" /var/log/*
7 #
8 # The file to process can be overridden with the --file command line
9 # argument
10 #
11 # Redhat or Fedora Core:
12 SECURE_LOG = /var/log/secure
13 #
14 # Mandrake, FreeBSD or OpenBSD: 
15 #SECURE_LOG = /var/log/auth.log
16 #
17 # SuSE:
18 #SECURE_LOG = /var/log/messages
19 #
20 # Mac OS X (v10.4 or greater - 
21 #   also refer to:   http://www.denyhosts.net/faq.html#macos
22 #SECURE_LOG = /private/var/log/asl.log
23 #
24 # Mac OS X (v10.3 or earlier):
25 #SECURE_LOG=/private/var/log/system.log
26 #
27 ########################################################################
28
29 ########################################################################
30 #
31 # HOSTS_DENY: the file which contains restricted host access information
32 #
33 # Most operating systems:
34 HOSTS_DENY = /etc/hosts.deny
35 #
36 # Some BSD (FreeBSD) Unixes:
37 #HOSTS_DENY = /etc/hosts.allow
38 #
39 # Another possibility (also see the next option):
40 #HOSTS_DENY = /etc/hosts.evil
41 #######################################################################
42
43
44 ########################################################################
45 #
46 # PURGE_DENY: removed HOSTS_DENY entries that are older than this time
47 #             when DenyHosts is invoked with the --purge flag
48 #
49 #      format is: i[dhwmy]
50 #      Where 'i' is an integer (eg. 7) 
51 #            'm' = minutes
52 #            'h' = hours
53 #            'd' = days
54 #            'w' = weeks
55 #            'y' = years
56 #
57 # never purge:
58 #PURGE_DENY = 
59 #
60 # purge entries older than 1 week
61 #PURGE_DENY = 1w
62 #
63 # purge entries older than 5 days
64 #PURGE_DENY = 5d
65 #
66 # For the default Fedora Extras install, we want timestamping but no
67 # expiration (at least by default) so this is deliberately set high.
68 # Adjust to taste.
69 PURGE_DENY = 10m
70 #######################################################################
71
72 #######################################################################
73 #
74 # PURGE_THRESHOLD: defines the maximum times a host will be purged.  
75 # Once this value has been exceeded then this host will not be purged. 
76 # Setting this parameter to 0 (the default) disables this feature.
77 #
78 # default: a denied host can be purged/re-added indefinitely
79 #PURGE_THRESHOLD = 0
80 #
81 # a denied host will be purged at most 2 times. 
82 #PURGE_THRESHOLD = 2 
83 #
84 #######################################################################
85
86
87 #######################################################################
88 #
89 # BLOCK_SERVICE: the service name that should be blocked in HOSTS_DENY
90
91 # man 5 hosts_access for details
92 #
93 # eg.   sshd: 127.0.0.1  # will block sshd logins from 127.0.0.1
94 #
95 # To block all services for the offending host:
96 #BLOCK_SERVICE = ALL
97 # To block only sshd:
98 BLOCK_SERVICE  = sshd
99 # To only record the offending host and nothing else (if using
100 # an auxilary file to list the hosts).  Refer to: 
101 # http://denyhosts.sourceforge.net/faq.html#aux
102 #BLOCK_SERVICE =    
103 #
104 #######################################################################
105
106
107 #######################################################################
108 #
109 # DENY_THRESHOLD_INVALID: block each host after the number of failed login 
110 # attempts has exceeded this value.  This value applies to invalid
111 # user login attempts (eg. non-existent user accounts)
112 #
113 DENY_THRESHOLD_INVALID = 10
114 #
115 #######################################################################
116
117 #######################################################################
118 #
119 # DENY_THRESHOLD_VALID: block each host after the number of failed 
120 # login attempts has exceeded this value.  This value applies to valid
121 # user login attempts (eg. user accounts that exist in /etc/passwd) except
122 # for the "root" user
123 #
124 DENY_THRESHOLD_VALID = 10
125 #
126 #######################################################################
127
128 #######################################################################
129 #
130 # DENY_THRESHOLD_ROOT: block each host after the number of failed 
131 # login attempts has exceeded this value.  This value applies to 
132 # "root" user login attempts only.
133 #
134 DENY_THRESHOLD_ROOT = 10
135 #
136 #######################################################################
137
138
139 #######################################################################
140 #
141 # DENY_THRESHOLD_RESTRICTED: block each host after the number of failed 
142 # login attempts has exceeded this value.  This value applies to 
143 # usernames that appear in the WORK_DIR/restricted-usernames file only.
144 #
145 DENY_THRESHOLD_RESTRICTED = 10
146 #
147 #######################################################################
148
149
150 #######################################################################
151 #
152 # WORK_DIR: the path that DenyHosts will use for writing data to
153 # (it will be created if it does not already exist).  
154 #
155 # Note: it is recommended that you use an absolute pathname
156 # for this value (eg. /home/foo/denyhosts/data)
157 #
158 WORK_DIR = /var/lib/denyhosts
159 #
160 #######################################################################
161
162 #######################################################################
163 #
164 # SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS
165 #
166 # SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES|NO
167 # If set to YES, if a suspicious login attempt results from an allowed-host
168 # then it is considered suspicious.  If this is NO, then suspicious logins 
169 # from allowed-hosts will not be reported.  All suspicious logins from 
170 # ip addresses that are not in allowed-hosts will always be reported.
171 #
172 SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
173 ######################################################################
174
175 ######################################################################
176 #
177 # HOSTNAME_LOOKUP
178 #
179 # HOSTNAME_LOOKUP=YES|NO
180 # If set to YES, for each IP address that is reported by Denyhosts,
181 # the corresponding hostname will be looked up and reported as well
182 # (if available).
183 #
184 HOSTNAME_LOOKUP=YES
185 #
186 ######################################################################
187
188
189 ######################################################################
190 #
191 # LOCK_FILE
192 #
193 # LOCK_FILE=/path/denyhosts
194 # If this file exists when DenyHosts is run, then DenyHosts will exit
195 # immediately.  Otherwise, this file will be created upon invocation
196 # and deleted upon exit.  This ensures that only one instance is
197 # running at a time.
198 #
199 # Redhat/Fedora:
200 LOCK_FILE = /var/lock/subsys/denyhosts
201 #
202 # Debian
203 #LOCK_FILE = /var/run/denyhosts.pid
204 #
205 # Misc
206 #LOCK_FILE = /tmp/denyhosts.lock
207 #
208 ######################################################################
209
210
211        ############ THESE SETTINGS ARE OPTIONAL ############
212
213
214 #######################################################################
215 #
216 # ADMIN_EMAIL: if you would like to receive emails regarding newly
217 # restricted hosts and suspicious logins, set this address to 
218 # match your email address.  If you do not want to receive these reports
219 # leave this field blank (or run with the --noemail option)
220 #
221 # Multiple email addresses can be delimited by a comma, eg:
222 # ADMIN_EMAIL = foo@bar.com, bar@foo.com, etc@foobar.com
223 #
224 ADMIN_EMAIL = 
225 #
226 #######################################################################
227
228 #######################################################################
229 #
230 # SMTP_HOST and SMTP_PORT: if DenyHosts is configured to email 
231 # reports (see ADMIN_EMAIL) then these settings specify the 
232 # email server address (SMTP_HOST) and the server port (SMTP_PORT)
233
234 #
235 SMTP_HOST = localhost
236 SMTP_PORT = 25
237 #
238 #######################################################################
239
240 #######################################################################
241
242 # SMTP_USERNAME and SMTP_PASSWORD: set these parameters if your 
243 # smtp email server requires authentication
244 #
245 #SMTP_USERNAME=foo
246 #SMTP_PASSWORD=bar
247 #
248 ######################################################################
249
250 #######################################################################
251 #
252 # SMTP_FROM: you can specify the "From:" address in messages sent
253 # from DenyHosts when it reports thwarted abuse attempts
254 #
255 SMTP_FROM = DenyHosts <nobody@localhost>
256 #
257 #######################################################################
258
259 #######################################################################
260 #
261 # SMTP_SUBJECT: you can specify the "Subject:" of messages sent
262 # by DenyHosts when it reports thwarted abuse attempts
263 SMTP_SUBJECT = DenyHosts Report from $[HOSTNAME]
264 #
265 ######################################################################
266
267 ######################################################################
268 #
269 # SMTP_DATE_FORMAT: specifies the format used for the "Date:" header
270 # when sending email messages.
271 #
272 # for possible values for this parameter refer to: man strftime
273 #
274 # the default:
275 #
276 #SMTP_DATE_FORMAT = %a, %d %b %Y %H:%M:%S %z
277 #
278 ######################################################################
279
280 ######################################################################
281 #
282 # SYSLOG_REPORT
283 #
284 # SYSLOG_REPORT=YES|NO
285 # If set to yes, when denied hosts are recorded the report data
286 # will be sent to syslog (syslog must be present on your system).
287 # The default is: NO
288 #
289 #SYSLOG_REPORT=NO
290 #
291 #SYSLOG_REPORT=YES
292 #
293 ######################################################################
294
295 ######################################################################
296 #
297 # ALLOWED_HOSTS_HOSTNAME_LOOKUP
298 #
299 # ALLOWED_HOSTS_HOSTNAME_LOOKUP=YES|NO
300 # If set to YES, for each entry in the WORK_DIR/allowed-hosts file,
301 # the hostname will be looked up.  If your versions of tcp_wrappers
302 # and sshd sometimes log hostnames in addition to ip addresses
303 # then you may wish to specify this option.
304
305 #ALLOWED_HOSTS_HOSTNAME_LOOKUP=NO
306 #
307 ######################################################################
308
309 ###################################################################### 
310
311 # AGE_RESET_VALID: Specifies the period of time between failed login
312 # attempts that, when exceeded will result in the failed count for 
313 # this host to be reset to 0.  This value applies to login attempts 
314 # to all valid users (those within /etc/passwd) with the 
315 # exception of root.  If not defined, this count will never
316 # be reset.
317 #
318 # See the comments in the PURGE_DENY section (above) 
319 # for details on specifying this value or for complete details 
320 # refer to:  http://denyhosts.sourceforge.net/faq.html#timespec
321 #
322 AGE_RESET_VALID=5d
323 #
324 ######################################################################
325
326 ###################################################################### 
327
328 # AGE_RESET_ROOT: Specifies the period of time between failed login
329 # attempts that, when exceeded will result in the failed count for 
330 # this host to be reset to 0.  This value applies to all login 
331 # attempts to the "root" user account.  If not defined,
332 # this count will never be reset.
333 #
334 # See the comments in the PURGE_DENY section (above) 
335 # for details on specifying this value or for complete details 
336 # refer to:  http://denyhosts.sourceforge.net/faq.html#timespec
337 #
338 AGE_RESET_ROOT=25d
339 #
340 ######################################################################
341
342 ###################################################################### 
343
344 # AGE_RESET_RESTRICTED: Specifies the period of time between failed login
345 # attempts that, when exceeded will result in the failed count for 
346 # this host to be reset to 0.  This value applies to all login 
347 # attempts to entries found in the WORK_DIR/restricted-usernames file.  
348 # If not defined, the count will never be reset.
349 #
350 # See the comments in the PURGE_DENY section (above) 
351 # for details on specifying this value or for complete details 
352 # refer to:  http://denyhosts.sourceforge.net/faq.html#timespec
353 #
354 AGE_RESET_RESTRICTED=25d
355 #
356 ######################################################################
357
358
359 ###################################################################### 
360
361 # AGE_RESET_INVALID: Specifies the period of time between failed login
362 # attempts that, when exceeded will result in the failed count for 
363 # this host to be reset to 0.  This value applies to login attempts 
364 # made to any invalid username (those that do not appear 
365 # in /etc/passwd).  If not defined, count will never be reset.
366 #
367 # See the comments in the PURGE_DENY section (above) 
368 # for details on specifying this value or for complete details 
369 # refer to:  http://denyhosts.sourceforge.net/faq.html#timespec
370 #
371 AGE_RESET_INVALID=10d
372 #
373 ######################################################################
374
375
376 ######################################################################
377 #
378 # RESET_ON_SUCCESS: If this parameter is set to "yes" then the
379 # failed count for the respective ip address will be reset to 0
380 # if the login is successful.  
381 #
382 # The default is RESET_ON_SUCCESS = no
383 #
384 #RESET_ON_SUCCESS = yes
385 #
386 #####################################################################
387
388
389 ######################################################################
390 #
391 # PLUGIN_DENY: If set, this value should point to an executable
392 # program that will be invoked when a host is added to the
393 # HOSTS_DENY file.  This executable will be passed the host
394 # that will be added as it's only argument.
395 #
396 #PLUGIN_DENY=/usr/bin/true
397 #
398 ######################################################################
399
400
401 ######################################################################
402 #
403 # PLUGIN_PURGE: If set, this value should point to an executable
404 # program that will be invoked when a host is removed from the
405 # HOSTS_DENY file.  This executable will be passed the host
406 # that is to be purged as it's only argument.
407 #
408 #PLUGIN_PURGE=/usr/bin/true
409 #
410 ######################################################################
411
412 ######################################################################
413 #
414 # USERDEF_FAILED_ENTRY_REGEX: if set, this value should contain
415 # a regular expression that can be used to identify additional
416 # hackers for your particular ssh configuration.  This functionality
417 # extends the built-in regular expressions that DenyHosts uses.
418 # This parameter can be specified multiple times.
419 # See this faq entry for more details:
420 #    http://denyhosts.sf.net/faq.html#userdef_regex
421 #
422 #USERDEF_FAILED_ENTRY_REGEX=
423 #
424 #
425 ######################################################################
426
427
428
429
430    ######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE  ##########
431
432
433
434 #######################################################################
435 #
436 # DAEMON_LOG: when DenyHosts is run in daemon mode (--daemon flag)
437 # this is the logfile that DenyHosts uses to report it's status.
438 # To disable logging, leave blank.  (default is: /var/log/denyhosts)
439 #
440 DAEMON_LOG = /var/log/denyhosts
441 #
442 # disable logging:
443 #DAEMON_LOG = 
444 #
445 ######################################################################
446
447 #######################################################################
448
449 # DAEMON_LOG_TIME_FORMAT: when DenyHosts is run in daemon mode 
450 # (--daemon flag) this specifies the timestamp format of 
451 # the DAEMON_LOG messages (default is the ISO8061 format:
452 # ie. 2005-07-22 10:38:01,745)
453 #
454 # for possible values for this parameter refer to: man strftime
455 #
456 # Jan 1 13:05:59   
457 #DAEMON_LOG_TIME_FORMAT = %b %d %H:%M:%S
458 #
459 # Jan 1 01:05:59 
460 #DAEMON_LOG_TIME_FORMAT = %b %d %I:%M:%S
461 #
462 ###################################################################### 
463
464 #######################################################################
465
466 # DAEMON_LOG_MESSAGE_FORMAT: when DenyHosts is run in daemon mode 
467 # (--daemon flag) this specifies the message format of each logged
468 # entry.  By default the following format is used:
469 #
470 # %(asctime)s - %(name)-12s: %(levelname)-8s %(message)s
471 #
472 # Where the "%(asctime)s" portion is expanded to the format
473 # defined by DAEMON_LOG_TIME_FORMAT
474 #
475 # This string is passed to python's logging.Formatter contstuctor.
476 # For details on the possible format types please refer to:
477 # http://docs.python.org/lib/node357.html
478 #
479 # This is the default:
480 #DAEMON_LOG_MESSAGE_FORMAT = %(asctime)s - %(name)-12s: %(levelname)-8s %(message)s
481 #
482 #
483 ###################################################################### 
484
485  
486 #######################################################################
487 #
488 # DAEMON_SLEEP: when DenyHosts is run in daemon mode (--daemon flag)
489 # this is the amount of time DenyHosts will sleep between polling
490 # the SECURE_LOG.  See the comments in the PURGE_DENY section (above)
491 # for details on specifying this value or for complete details
492 # refer to:    http://denyhosts.sourceforge.net/faq.html#timespec
493
494 #
495 DAEMON_SLEEP = 30s
496 #
497 #######################################################################
498
499 #######################################################################
500 #
501 # DAEMON_PURGE: How often should DenyHosts, when run in daemon mode,
502 # run the purge mechanism to expire old entries in HOSTS_DENY
503 # This has no effect if PURGE_DENY is blank.
504 #
505 DAEMON_PURGE = 10m 
506 #
507 #######################################################################
508
509
510    #########   THESE SETTINGS ARE SPECIFIC TO     ##########
511    #########       DAEMON SYNCHRONIZATION         ##########
512
513
514 #######################################################################
515 #
516 # Synchronization mode allows the DenyHosts daemon the ability
517 # to periodically send and receive denied host data such that 
518 # DenyHosts daemons worldwide can automatically inform one
519 # another regarding banned hosts.   This mode is disabled by
520 # default, you must uncomment SYNC_SERVER to enable this mode.
521 #
522 # for more information, please refer to: 
523 #        http:/denyhosts.sourceforge.net/faq.html#sync 
524 #
525 #######################################################################
526
527
528 #######################################################################
529 #
530 # SYNC_SERVER: The central server that communicates with DenyHost
531 # daemons.  Currently, denyhosts.net is the only available server
532 # however, in the future, it may be possible for organizations to
533 # install their own server for internal network synchronization
534 #
535 # To disable synchronization (the default), do nothing. 
536 #
537 # To enable synchronization, you must uncomment the following line:
538 #SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
539 #
540 #######################################################################
541
542 #######################################################################
543 #
544 # SYNC_INTERVAL: the interval of time to perform synchronizations if
545 # SYNC_SERVER has been uncommented.  The default is 1 hour.
546
547 #SYNC_INTERVAL = 1h
548 #
549 #######################################################################
550
551
552 #######################################################################
553 #
554 # SYNC_UPLOAD: allow your DenyHosts daemon to transmit hosts that have
555 # been denied?  This option only applies if SYNC_SERVER has
556 # been uncommented.
557 # The default is SYNC_UPLOAD = yes
558 #
559 #SYNC_UPLOAD = no
560 #SYNC_UPLOAD = yes
561 #
562 #######################################################################
563
564
565 #######################################################################
566 #
567 # SYNC_DOWNLOAD: allow your DenyHosts daemon to receive hosts that have
568 # been denied by others?  This option only applies if SYNC_SERVER has
569 # been uncommented.
570 # The default is SYNC_DOWNLOAD = yes
571 #
572 #SYNC_DOWNLOAD = no
573 #SYNC_DOWNLOAD = yes
574 #
575 #
576 #
577 #######################################################################
578
579 #######################################################################
580 #
581 # SYNC_DOWNLOAD_THRESHOLD: If SYNC_DOWNLOAD is enabled this paramter
582 # filters the returned hosts to those that have been blocked this many
583 # times by others.  That is, if set to 1, then if a single DenyHosts
584 # server has denied an ip address then you will receive the denied host.
585
586 # See also SYNC_DOWNLOAD_RESILIENCY
587 #
588 #SYNC_DOWNLOAD_THRESHOLD = 10
589 #
590 # The default is SYNC_DOWNLOAD_THRESHOLD = 3 
591 #
592 #SYNC_DOWNLOAD_THRESHOLD = 3
593 #
594 #######################################################################
595
596 #######################################################################
597 #
598 # SYNC_DOWNLOAD_RESILIENCY:  If SYNC_DOWNLOAD is enabled then the
599 # value specified for this option limits the downloaded data
600 # to this resiliency period or greater.
601 #
602 # Resiliency is defined as the timespan between a hackers first known 
603 # attack and it's most recent attack.  Example:
604
605 # If the centralized   denyhosts.net server records an attack at 2 PM 
606 # and then again at 5 PM, specifying a SYNC_DOWNLOAD_RESILIENCY = 4h 
607 # will not download this ip address.
608 #
609 # However, if the attacker is recorded again at 6:15 PM then the 
610 # ip address will be downloaded by your DenyHosts instance.  
611 #
612 # This value is used in conjunction with the SYNC_DOWNLOAD_THRESHOLD 
613 # and only hosts that satisfy both values will be downloaded.  
614 # This value has no effect if SYNC_DOWNLOAD_THRESHOLD = 1 
615 #
616 # The default is SYNC_DOWNLOAD_RESILIENCY = 5h (5 hours)
617 #
618 # Only obtain hackers that have been at it for 2 days or more:
619 #SYNC_DOWNLOAD_RESILIENCY = 2d
620 #
621 # Only obtain hackers that have been at it for 5 hours or more:
622 #SYNC_DOWNLOAD_RESILIENCY = 5h
623 #
624 #######################################################################
625