DenyHosts es un script escrito en Python que analiza los logs del servidor sshd y determinar posibles intentos de ataques. En caso de que se detecte tal intento se actualiza el archivo /etc/hosts.deny con la IP del posible ataque para prevenir cualquier intento futuro.

A través del archivo /etc/denyhosts.conf se setea la configuración, por ejemplo cantidad de intentos fallidos por el puerto ssh (por defecto 22) para que se considere un ataque.

¿Qué sucede si por equivocación DenyHosts nos confunde con un atacante al habernos confundido en la cantidad de intentos posibles? Nuestra IP es almacenada en /etc/hosts.deny y por lo tantos tenemos el acceso bloqueado. Para remediar esta situación no bastará con remover nuestra IP de hosts.deny. Tenemos que hacer lo siguiente:

• Detener DenyHosts (i.e. /etc/init.d/denyhosts stop)
• Remover la IP bloqueada de /etc/hosts.deny
• Remover la IP bloqueada de WORK_DIR/hosts
• Remover la IP bloqueada de WORK_DIR/hosts-restricted
• Remover la IP bloqueada de WORK_DIR/hosts-root
• Remover la IP bloqueada de WORK_DIR/hosts-valid
• Remover la IP bloqueada de WORK_DIR/user-hosts
• Arrancar DenyHosts (i.e. /etc/init.d/denyhosts start)

Nota: Para obtener WORK_DIR utilizar el siguiente comando:

$ cat /etc/denyhosts.conf | grep 'WORK_DIR ='

En Debian Etch la salida del comando anterior es WORK_DIR = /var/lib/denyhosts

Fuente

• FAQ de DenyHosts[sourceforge.net]