lastb命令:这条命令用于查看一定时间内登陆失败的记录,即使用ssh登陆但是密码输错的记录
如果你用的是云服务器,你会发现登陆失败的记录很多很多,有些就是想暴力破解你的服务器。
iptables 命令是 Linux 中重要的访问控制手段,可以屏蔽你想屏蔽的ip
Chain INPUT控制了能访问你服务器的所有ip,因为我已经执行过脚本,所以有5个ip已经DROP掉了
原理:获取当前时间,以小时为最后单位,与lastb中登陆失败的时间匹配,就能匹配出当前小个小时中所有访问失败的ip
然后使用awk命令进行ip统计,统计出每小时暴力破解超过N次的ip,用for循环查询每一个ip,并与iptables中的ip去比较,如果这个ip没有被限制,就限制它;如果已经限制了,就输出一个提示符继续下一个。
#!/bin/bash
DATE=$(date +"%a %b %e %H")
# %星期 %月 %天 %时 其中,星期、月都是英文简写显示;用于匹配lastb
# %e:单数字时显示7;而%d显示07
ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
# lastb:上次登录失败的记录
# grep "$DATE":匹配当前分钟内的ssh失败记录
# {for(i in a)if(a[i]>10)print i}:小括号表示判断条件
for IP in $ABNORMAL_IP; do
if [ $(iptables -vnL |grep -c "$IP") -eq 0 ]; then
#iptables -v查看规则列表时显示详细(--verbose)的信息
#-n number使用数字形式显示输出结果,如显示主机的ip地址而不是主机名
#-L list列出指定链中所有规则进行查看
#grep -c统计个数
iptables -I INPUT -s $IP -j DROP
#-I insert在指定链中插入一条新规则,为指明插入位置
#-s source 指定源
#-j jump 指定动作
echo -e "\033[32someone trying\033[0m"
else echo -e "\033[31mno one trying\033[0m"
fi
done
echo "屏蔽完成"
执行这段代码后会屏蔽掉尝试暴力破解的ip,通过iptables -vnL可以查看被屏蔽的IP,但是这样似乎还不够自动化。为了更好地防止被暴力破解,使用crontab设置定时器,每小时屏蔽一批IP,对于crontab的用法,可以看我之前的博客:使用shell脚本进行每月定时备份数据