要理解這段腳本首先要先熟練的掌握awk的知識
lastb命令:這條命令用於查看一定時間內登陸失敗的記錄,即使用ssh登陸但是密碼輸錯的記錄
如果你用的是雲服務器,你會發現登陸失敗的記錄很多很多,有些就是想暴力破解你的服務器。
屏蔽每小時SSH暴力破解超過10次的ip:
原理:獲取當前時間,以小時為最后單位,與lastb中登陸失敗的時間匹配,就能匹配出當前小個小時中所有訪問失敗的ip
然后使用awk命令進行ip統計,統計出每小時暴力破解超過N次的ip,用for循環查詢每一個ip,並與linux系統黑名單(/etc/hosts.deny)中的ip去比較,如果這個ip沒有被限制,就限制它;如果已經限制了,就輸出一個提示符繼續下一個。
#!/bin/bash # ================================= # 屏蔽每小時SSH暴力破解超過10次的ip # ================================= DATE=$(date +"%a %b %e %H") # %星期 %月 %天 %時 其中,星期、月都是英文簡寫顯示;用於匹配lastb # %e:單數字時顯示7;而%d顯示07 ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}') # lastb:上次登錄失敗的記錄 # grep "$DATE":匹配當前分鍾內的ssh失敗記錄 # {for(i in a)if(a[i]>10)print i}:小括號表示判斷條件 echo echo "以下ip每小時超過10次登陸失敗" echo for IP in $ABNORMAL_IP; do # 查看系統黑名單中是否已存在需要屏蔽的ip insert_ip=`grep "$IP" /etc/hosts.deny | wc -l` if [ $insert_ip -le 0 ] ; then echo "屏蔽IP:$IP" echo "sshd:${IP}" >> /etc/hosts.deny else echo "IP:$IP 已存在系統黑名單中" fi done # 重啟ssh服務生效 systemctl restart sshd echo echo "屏蔽完成" echo
屏蔽完成
最后設置一個計划任務,使這個腳本每小時的第50分鍾自動執行一次
