原理:
通过定时脚本检查系统登录失败日志/var/log/secure,统计每个IP失败登录次数,当统计到失败次数大于阀值时,将IP加入系统屏蔽名单/etc/hosts.deny中。

1、编辑脚本文件secure_ssh.sh

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /home/black.txt
for i in `cat  /home/black.txt`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
   if [ $NUM -gt 10 ];then
      grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

2、修改文件secure_ssh.sh可执行属性,并创建black.txt文件

chmod +x secure_ssh.sh
touch /home/black.txt

3、通过crontab -e添加系统定时执行任务,这里设置每30分钟执行一次。

*/30 * * * *  sh /root/secure_ssh.sh

4、重启crond守护进程。

systemctl restart crond
最后编辑:2019年05月21日 ©著作权归作者所有

发表评论

正在加载 Emoji