RWSecure durchsucht die Logdatei /var/log/secure (oder eine andere angegebene Datei) nach ungültigen Benutzernamen oder falschen Passwörtern. Wenn mehr als eine angegebene Zahl von ungültigen Versuchen von einer IP-Adresse entdeckt wird, was auf einen auf blindem Ausprobieren beruhenden Angriff hindeutet, fügt es dieses Adresse zur Datei /etc/hosts.deny hinzu. (non)