要求:在/var/log/secure查找连接失败的主机,并统计次数,累计连接失败超过3次,将此主机加入系统黑名单(/etc/hosts.deny)
思路:首先查看/var/log/secure文件,用命令截取并进行统计每个ip的出现次数,然后进行一个判断,是否加入黑名单
下面是脚本的详细内容
#!/bin/bash
cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c |awk '{print $2"="$1}' > /tmp/blacklist
MAXCOUNT="3"
for i in `cat /tmp/blacklist`
do
IP=`echo $i | awk -F= '{print $1}'`
NUM=`echo $i | awk -F= '{print $2}'`
if [ $NUM -gt $MAXCOUNT ];then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];then
echo "sshd:$IP" >> /etc/hosts.deny
fi
fi
done
这里我用另外一台虚拟机104模拟连接三次失败的例子
然后回到103执行脚本,并查看黑名单文件
然后在104再次尝试登陆
bingo~