一、背景需求
最近公司使用開始金山雲的機器,雲主機大家都知道的,很多人沒有設置安全組(防火牆)的習慣,理所當然就成了黑客的下飯菜了。當然,我們的雲主機也是有設置密碼的,所以黑客一般是通過窮舉法來進行暴力破解SSH登陸,為了阻止黑客們這一惡心的行為,就有了下面這篇文章。
二、尋求解決辦法
需要知道是否有人在嘗試登陸我們的服務器(這里指linux服務器),我們知道,secure log里面會進行詳細記錄:
我這里只是截取了部分log。
從上面我們可以看到,如果用戶登陸失敗或者成功時,都會有詳細的記錄:時間點、主機、來源IP、什么原因導致失敗等。
所以,我們監考ssh暴力破解就從secure log開始。
但是,如果同時攻擊的IP非常多,此時我們就需要詳細記錄每個IP攻擊的次數,然后根據攻擊次數進行封IP了。我們可以通過zabbix的報警功能,來進行提示用戶已經封了多少IP。所以,這里需要采用LLD方式。
三、制作腳本和自定義key
1、腳本
#!/bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2":"$1;}' >/etc/zabbix/externalscripts/ssh_failed.txt
chown -R zabbix:zabbix /etc/zabbix/externalscripts/ssh_failed.txt
ssharray=(`cat /etc/zabbix/externalscripts/ssh_failed.txt|awk -F[:] '{print $1}' 2>/dev/null`)
length2=${#ssharray[@]}
printf "{\n"
printf '\t'"\"data\":["
for ((i=0;i<$length2;i++))
do
printf '\n\t\t{'
printf "\"{#SSHIP}\":\"${ssharray[$i]}\"}"
if [ $i -lt $[$length2-1] ];then
printf ','
fi
done
printf "\n\t]\n"
printf "}\n"
2、自定義key
#auto discovery ssh Failed
UserParameter=custom.ssh.failed.discovery, /bin/sh /etc/zabbix/externalscripts/secure.sh
UserParameter=custom.ssh.failed.num[*], cat /etc/zabbix/externalscripts/ssh_failed.txt | egrep $1 | head -1 | awk -F[:] '{print $$2}'
3、測試
在最上面,我們已經看到secure log里面有登陸失敗的記錄,Failed password for root from 172.16.8.21 port 16573 ssh2。通過上面編寫的腳本,測試如下:
4、服務端測試
四、制作模板
接下來,根據LLD腳本和自定義key進行模板編寫。
模板Template App For SSH Login Check.xml已經上傳至github地址:https://github.com/loveqx/zabbix-doc/blob/master/zabbix-scripts/zabbix-template-ssh-login-check/Template%20App%20For%20SSH%20Login%20Check.xml
五、主機上套
六、效果圖
1、最新數據:
2、監控圖:
七、參考文獻和腳本
1、最后附上腳本和模板地址:
2、參考文獻