最近重新设置了一下我的云主机,因为现在网上存在大量连接端口扫描操作,并会尝试对 ssh
端口尝试暴力破解,所以考虑给我的主机设置一个对于暴力破解拦截的脚本。
网上有很多现成的脚本:
参照上面的脚本做了下修改:
#!/bin/bash
SECURE_LOG_PATH="/var/log/auth.log"
# 登录失败次数限制
LOG_FAILE_LIMIT=3
if ! [ -e ${SECURE_LOG_PATH} ];
then
# 找不到 ssh 登录日志
echo "could not found ssh secure file ${SECURE_LOG_PATH}!";
return 2
fi
# 检索 ssh 登录日志,分析登录失败次数
awk '{for(i=1;i<=NF;i++){if($i ~ /rhost/)print substr($i,7)}}' ${SECURE_LOG_PATH} \
| sort \
| uniq -c | \
while read -r line
do
IP=$(echo "$line" | awk '{print $2}') && NUM=$(echo "$line" | awk '{print $1}')
if [[ -z $IP || -z $NUM ]] ;then
echo "invalid argument $line"
continue
fi
# 1.判断登录失败次数是否超过指定次数
# 2.判断是否已经拦截该 IP
# crontab 启动的线程需要命令为全路径,否则有可能找不到 iptables 命令
if [ "${NUM}" -gt ${LOG_FAILE_LIMIT} ] \
&& ! (/usr/sbin/iptables -L | grep "${IP}" | grep DROP | grep ssh > /dev/null); then
# echo "ALL:${IP}" >> /etc/hosts.deny
# 使用防火墙来拦截
echo "block ${IP} which has log failed ${NUM} times"
/usr/sbin/iptables -A INPUT -s "${IP}" -p tcp --dport 22 -j DROP
fi
done
将上面的脚本放到你的云主机上,然后为其配置 cron 定时任务。
*/1 * * * * /usr/local/bin/secure-ssh
当然这只是一种实现方式,除了使用防火墙之外,还可以使用 hosts.allow 和 hosts.deny 文件添加规则拦截。
参考资料
防火墙相关概念
iptables详解及一些常用规则
Linux 限制IP——/etc/hosts.allow和/etc/hosts.deny文件