Cento7 將每小時SSH暴力破解（登錄失敗）超過10次的ip加入系統黑名單----系統安全篇

要理解這段腳本首先要先熟練的掌握awk的知識

在正式實踐前須要理清楚幾個知識點：

lastb命令：這條命令用於查看必定時間內登錄失敗的記錄，即便用ssh登錄可是密碼輸錯的記錄

 

 若是你用的是雲服務器，你會發現登錄失敗的記錄不少不少，有些就是想暴力破解你的服務器。

屏蔽每小時SSH暴力破解超過10次的ip：

原理：獲取當前時間，以小時爲最後單位，與lastb中登錄失敗的時間匹配，就能匹配出當前小個小時中全部訪問失敗的ip

 

 而後使用awk命令進行ip統計，統計出每小時暴力破解超過N次的ip，用for循環查詢每個ip，並與linux系統黑名單（/etc/hosts.deny）中的ip去比較，若是這個ip沒有被限制，就限制它；若是已經限制了，就輸出一個提示符繼續下一個。

 

#!/bin/bash


# =================================
# 屏蔽每小時SSH暴力破解超過10次的ip
# =================================


DATE=$(date +"%a %b %e %H")
# %星期 %月 %天 %時 其中，星期、月都是英文簡寫顯示；用於匹配lastb
# %e:單數字時顯示7;而%d顯示07

ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
# lastb：上次登陸失敗的記錄
# grep "$DATE"：匹配當前分鐘內的ssh失敗記錄
# {for(i in a)if(a[i]>10)print i}：小括號表示判斷條件

echo
echo "如下ip每小時超過10次登錄失敗"
echo 
for IP in $ABNORMAL_IP; do

    # 查看系統黑名單中是否已存在須要屏蔽的ip
    insert_ip=`grep "$IP" /etc/hosts.deny | wc -l`
    if [ $insert_ip -le 0 ] ; then
        echo "屏蔽IP：$IP"
        echo "sshd:${IP}" >> /etc/hosts.deny
    else
        echo "IP：$IP 已存在系統黑名單中"
    fi
done

# 重啓ssh服務生效
systemctl restart sshd

echo
echo "屏蔽完成"
echo

 

屏蔽完成

最後設置一個計劃任務，使這個腳本每小時的第50分鐘自動執行一次