shell脚本实战案例---安全脚本

已于 2023-11-11 20:16:54 修改
阅读量1k 收藏 4
点赞数 2
分类专栏: shell 文章标签: 安全 服务器 网络 运维 linux
于 2023-11-11 20:16:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71840604/article/details/134351664
版权

例题:自动化禁止恶意IP访问
        应用场景:防止恶意IP尝试ssh登录。---暴力破解密码
        脚本说明:将密码输入错误超过4次的IP地址通过iptables防火墙阻止访问。

目录

1.脚本分析:

【1】首先ssh登录之后,产生的日志文件是哪个,模拟暴力破解密码会有什么提示,我们约定输错密码超过4次算暴力破解

【2】我们如何容日志中取出暴力破解密码的客户端IP

【3】在生产环境中我们经常使用iptables,所以我们使用iptables封堵IP

2.脚本:

3.多次执行脚本之后,通过查看iptables列表,发现V1版本有bug:相同的IP和端口多次封堵

4..如何获取已经封堵IP

【1】从iptables -L -n 命令行入手

【2】从防火墙保存文件/etc/sysconfig/iptables入手

 5.改进脚本

【1】利用临时文件解决bug

【2】使用临时变量来解决bug

【3】使用临时数组来解决bug

6.测试结果:

1.脚本分析:

【1】首先ssh登录之后,产生的日志文件是哪个,模拟暴力破解密码会有什么提示,我们约定输错密码超过4次算暴力破解

[root@node11 ~]# mkdir -p /server/scripts
[root@node11 scripts]# tail /var/log/secure
Nov 12 02:12:10 node11 sshd[1504]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Nov 12 02:12:12 node11 sshd[1504]: Failed password for root from 192.168.111.13 port 38136 ssh2
Nov 12 02:12:13 node11 sshd[1499]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Nov 12 02:12:14 node11 sshd[1499]: Failed password for root from 192.168.111.12 port 52866 ssh2

由代码可知,产生日志的文件是/var/log/secure,提示为Failed password

【2】我们如何容日志中取出暴力破解密码的客户端IP

1.这是我们取出登录过这台服务器的客户端IP
[root@node11 scripts]# awk '/Failed password/ {IP[$(NF-3)]++} END {for (k in IP) print IP[k],k }' /var/log/secure 
5 192.168.111.21
6 192.168.111.12
6 192.168.111.13
1 192.168.111.50

2.这是我们取出输错密码超过4次的客户端IP
[root@node11 scripts]# awk '/Failed password/ {IP[$(NF-3)]++} END {for (k in IP) if (IP[k]>4) print k }' /var/log/secure 
192.168.111.21
192.168.111.12
192.168.111.13

【3】在生产环境中我们经常使用iptables,所以我们使用iptables封堵IP

准备:

[root@node11 scripts]# yum whatprovides iptables    # 查看iptables命令是由哪个软件包提供
[root@node11 scripts]# yum install -y iptables-services
[root@node11 scripts]# systemctl start iptables.service    # 启动之后,会出现默认规则
[root@node11 scripts]# iptables -L -n    # 列出当前iptables防火墙规则中的所有规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-
...
[root@node11 scripts]# iptables -F    # 清除iptables防火墙规则中的所有规则
[root@node11 scripts]# iptables -L -n    # 再次进行查看
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables封堵IP:

[root@node11 scripts]# iptables -I INPUT -s 192.168.111.13 -p tcp --dport 22 -j DROP     
[root@node11 scripts]# service iptables save    # 保存规则
[root@node11 scripts]# iptables -L -n    # 再次查看,看看是否保存
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  192.168.111.13       0.0.0.0/0            tcp dpt:22
......         
[root@node11 scripts]# more /etc/sysconfig/iptables    # 也可以查看文件
# Generated by iptables-save v1.4.21 on Sun Nov 12 02:55:39 2023
*filter
:INPUT ACCEPT [266:16148]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [156:12788]
-A INPUT -s 192.168.111.13/32 -p tcp -m tcp --dport 22 -j DROP
COMMIT
# Completed on Sun Nov 12 02:55:39 2023

因为要不断的测试脚本,所以我们每操作完一项,就可以清除iptables防火墙规则中的所有规则,方便我们下次进行测试。

2.脚本:

[root@node11 scripts]# vim deny_ip_v1.sh
#!/bin/bash

awk '/Failed password/ {IP[$(NF-3)]++} END {for (k in IP) if (IP[k]>4) print k }' /var/log/secure > deny_ip

while read line
do
    iptables -I INPUT -s $line -p tcp --dport 22 -j DROP
done < deny_ip

service iptables save

rm -rf deny_ip

 进行测试:

[root@node11 scripts]# sh deny_ip_v1.sh 
[root@node11 scripts]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  192.168.111.13       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.12       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.21       0.0.0.0/0            tcp dpt:22
......        
[root@node11 scripts]# sh deny_ip_v1.sh     # 再次执行脚本
[root@node11 scripts]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  192.168.111.13       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.12       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.21       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.13       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.12       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.21       0.0.0.0/0            tcp dpt:22
......

3.多次执行脚本之后,通过查看iptables列表,发现V1版本有bug:相同的IP和端口多次封堵

解决思路:让封堵的IP和端口不再封堵

4..如何获取已经封堵IP

【1】从iptables -L -n 命令行入手

[root@node11 scripts]# iptables -L -n | tr -s " " | awk -F"[ :]" '$1=="DROP" && $NF=22 {print $4}' 
192.168.111.13
192.168.111.12
192.168.111.21
192.168.111.13
192.168.111.12
192.168.111.21

【2】从防火墙保存文件/etc/sysconfig/iptables入手

[root@node11 scripts]# awk -F"[ /]" '$11=22 && $NF=="DROP" {print $4}' /etc/sysconfig/iptables
192.168.111.13
192.168.111.12
192.168.111.21
192.168.111.13
192.168.111.12
192.168.111.21

 5.改进脚本

【1】利用临时文件解决bug

[root@node11 scripts]# vim deny_ip_v2.sh
#!/bin/bash

awk '/Failed password/ {IP[$(NF-3)]++} END {for (k in IP) if (IP[k]>4) print k }' /var/log/secure > deny_ip
iptables -L -n | tr -s " " | awk -F"[ :]" '$1=="DROP" && $NF=22 {print $4}' > block_ip

while read line
do
    if ! grep -qw $line block_ip
    then
        iptables -I INPUT -s $line -p tcp --dport 22 -j DROP
    fi
done < deny_ip

service iptables save

rm -rf deny_ip block_ip

【2】使用临时变量来解决bug

[root@node11 scripts]# vim deny_ip_v3.sh
#!/bin/bash

awk '/Failed password/ {IP[$(NF-3)]++} END {for (k in IP) if (IP[k]>4) print k }' /var/log/secure > deny_ip
block_ip=$(iptables -L -n | tr -s " " | awk -F"[ :]" '$1=="DROP" && $NF=22 {print $4}')

while read line
do
    if ! echo $block_ip | grep -qw $line
    then
        iptables -I INPUT -s $line -p tcp --dport 22 -j DROP
    fi
done < deny_ip

service iptables save

rm -rf deny_ip
unset block_ip

【3】使用临时数组来解决bug

[root@node11 scripts]# vim deny_ip_v4.sh
#!/bin/bash

awk '/Failed password/ {IP[$(NF-3)]++} END {for (k in IP) if (IP[k]>4) print k }' /var/log/secure > deny_ip
block_ip=($(iptables -L -n | tr -s " " | awk -F"[ :]" '$1=="DROP" && $NF=22 {print $4}'))

while read line
do
    if ! echo ${block_ip[@]} | grep -qw $line
    then
        iptables -I INPUT -s $line -p tcp --dport 22 -j DROP
    fi
done < deny_ip

service iptables save

rm -rf deny_ip
unset block_ip

6.测试结果:

[root@node11 scripts]# sh deny_ip_v2.sh 
[root@node11 scripts]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  192.168.111.13       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.12       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.21       0.0.0.0/0            tcp dpt:22
......       
[root@node11 scripts]# sh deny_ip_v2.sh     # 再次执行
[root@node11 scripts]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  192.168.111.13       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.12       0.0.0.0/0            tcp dpt:22
DROP       tcp  --  192.168.111.21       0.0.0.0/0            tcp dpt:22
......

生产环境中会结合计划任务进行

星辰在努力
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编写安全检测脚本
彭淦淦的博客
04-02 304
4.1 问题 本案例要求编写脚本,防止远程ssh暴力破解密码,具体监控项目要求如下: 检测ssh登录日志,如果远程登陆账号名错误3次,则屏蔽远程主机的IP 检测ssh登录日志,如果远程登陆密码错误3次,则屏蔽远程主机的IP 4.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:准备工作 1)过滤帐户名失败的命令(登陆日志文件为/var/log/secure) [root@svr5 ~]# aw...
shell脚本(重要)-工作实战案例
06-29
本篇文章将深入探讨Shell脚本的工作实战案例,帮助你更好地理解和运用这一技术。 一、Shell脚本基础 1. 变量:在Shell脚本中,变量用于存储数据。声明变量时无需指定类型,例如`name="John"`。可以通过`echo $name...
安全脚本程序的编写 V1.0(2)
软件开发
11-19 504
安全脚本程序的编写 V1.0(2)                  2.2   cookie的问题2.2.1 概念介绍按照Netscape官方文档中的定义,Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie是由Web服务器保存在用户浏览器上的小广西文件,它可以包含有关用户的信息(如身份识别号码、密码、用户在Web站点购物的方式或用户访问该站点的次数)。无
shell实现ssh服务防止暴力破解 —— 筑梦之路
筑梦之路
05-24 285
对系统登陆日志文件/var/log/secure,进行数据筛选,查找登陆失败的ip地址,然后将ip加入到黑名单中。
python安全脚本编程--第一节
莫慌的博客
08-16 682
python 安全脚本编程
shell实战之编写安全脚本-12】
小小Python的博客
07-25 743
这里写自定义目录标题一、自动化禁止恶意IP访问1.使用iptables对强行攻击192.168.131.109机器的主机进行拒绝访问2.使用firewalld对强行攻击192.168.131.109机器的主机进行拒绝访问(好处:不会出现重复添加IP) 一、自动化禁止恶意IP访问 应用场景:防止恶意IP尝试ssh登录。 脚本说明:将密码输入错误超过4次的IP地址通过firewalld防火墙阻止访问 ssh远程访问记录在文件中/var/log/secure 登录成功时,该文件最后: Jul 25 14:07:0
常用shell脚本实战案例
06-30
本资源“常用shell脚本实战案例”聚焦于如何利用Shell脚本来解决实际问题,提升运维效率。下面我们将深入探讨其中涉及的一些关键知识点。 1. **基础语法**: - 变量:Shell脚本中的变量用于存储数据,如`name=...
Shell脚本编写实战
06-09
根据实际的案例讲解怎么编写Shell脚本,在什么场景下编写为讲解导向。课程内容如下:1.编写Shell脚本注意事项与编写打印字体颜色函数2.批量创建用户3.监控主机存活状态4.监控CPU、内存、硬盘和网卡流量利用率5.监控...
Bash Shell脚本实战11例
08-05
本文档对于十一个示例进行了bash代码的示例编写,主要面向那些没有太强的bash脚本编程基础的人,让这些人能够熟悉bash脚本的编写流程,代码规范及常规代码编写时的一些编写习惯的培养等。
Linux运维-运维系统服务04-Shell脚本d6-Shell函数与正则表达式-02实战案例3统计web服务的连接状态.mp4
06-20
Linux运维-运维系统服务04-Shell脚本d6-Shell函数与正则表达式-02实战案例3统计web
shell脚本测试
weixin_57128596的博客
11-12 2356
∗ 所 有 参 数 列 表 , 如 " * 所有参数列表,如"∗所有参数列表,如"*" 用["],括起来的情况,以"$1" “2 " . . . . " 2" ...."2"...."n” 的形式输出所有参数,如"@“用「”」括起来的情况、以"$1" “2 " …最后运行的命令的结束代码(返回值),即执行上一个指令的返回值 (显示最后命令的退出状态。Shell最后运行的后台Process的PID(后台运行的最后一个进程的 进程ID号)Shell中$0、$1、$2、$?、$$、$*、$#、$@的含义。
Shell脚本通过渗透测试检测服务器安全
m0_58026506的博客
12-28 456
这个脚本通过使用curl命令获取 Web 服务器错误日志,并使用grep命令筛选出包含 "Error:" 的行。然后,脚本统计错误日志的数量,并判断错误日志数量是否超过预设值。如果错误日志数量超过预设值,则输出一条警告信息,并建议管理员检查服务器配置并重试。
shell练习之安全脚本
zero_smile的博客
01-09 6252
将密码输入错误超过4次的IP地址通过firewalld防火墙阻止访问
Shell脚本安全
weixin_30563917的博客
12-20 374
Shell脚本给管理和使用系统都带来了巨大的便利,然后在多用户系统中,也带来了许多安全性问题。在脚本中可能存在的安全性问题如下: (1)在脚本中使用cd命令,切换到不安全的目录执行脚本。 (2)在脚本中修改了环境变量的值,从而导致系统产生了变化。 (3)在某个目录中创建了非法的文件。例如使用重定向在目录/etc中创建了文件nologin,这将导致其他用户无法登陆。 在Shell脚本中,提供...
暴力破解脚本 shell
yuan-ONE的博客
01-17 3718
突然间懵生了一个想法 然后就做了(第一次觉得工作这么有趣!!!) 内网已经测试能够成功 外网正在测试,字典比较大估计要跑好几天 先把脚本贴出来: #!bin/bash gateway=172.16.80 #nmap -p 22 172.16.81.* |grep open -a3 |grep for|cut -d " " -f5 >hosts hosts=`cat hosts` pass=`c
隧道可视化:实时监控保障行车安全
最新发布
HT for Web 3D
07-27 337
通过图扑可视化实现隧道的实时监控、数据分析及智能报警系统,提供全面的隧道管理和决策支持,提升行车安全,优化维护策略,确保交通顺畅。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1203
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
Linux基础命令
weixin_68540670的博客
07-25 1753
Linux中一切从根开始Linux中一切皆文件。
shell脚本实战案例
05-18
下面是几个实战案例: 1. 自动备份MySQL数据库:编写一个脚本,定期备份MySQL数据库,并将备份文件压缩存储到指定目录中。 2. 自动化部署应用:编写一个脚本,自动化部署应用程序,包括上传文件、解压缩、修改配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值