临近年关,青龙被暴力攻击的次数越来越多,把我现在使用的方法分享给大家,希望可以给大家带来帮助。
话不多说,开始干货。
(1)远程登录自己的服务器,可以通过cmd工具,也可以通过secure crt、finalshell等软件
ssh <服务器IP地址>
输入用户名、密码,登录服务器
(2)创建脚本目录和日志目录,使用root用户执行(如果没有root权限,使用其他用户也可以)
mkdir -p /data/scripts
mkdir -p /data/blackip
(3)创建脚本,获取暴力扫描服务器IP信息
cd /data/scripts
vi secure_ssh_blackip_check.sh
回车,键盘按一下小写字母 i ,进入vi的编辑写模式
把下面内容粘贴到该脚本里,注意这句话本身不要复制哦,脚本里配置的内容【 if [ $NUM -gt 5 ];then】里的5是外部IP登录青龙失败的次数,如果失败次数大于5次,就会阻止该IP的新的ssh请求。大家根据自己需要调整这个数字即可,如果自己密码复杂,容易输错,就可以适当增大,比如调整为10或20次,如果密码不复杂,不容易输错,那就5-10次即可。
【由于网页可能会存在特殊字符失效的问题,所以附录了附件下载地址,需要的话请从附件地址下载,谢谢。】
#! /bin/bash
# black ip will write into file /etc/hosts.deny
# when an ip tried 5 times password failed and will block this ip request
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /data/blackip/black_ip_collect.txt
for i in `cat /data/blackip/black_ip_collect.txt`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt 5 ];then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
done
粘贴完成后,按一下 ESC 按钮,之后按下英文的冒号按键( : ), 并输入小写 x,回车即可保存。
(4)配置crontab自动调度,每10分钟做一次黑名单处理,使用root执行下面命令
大家也可以根据自己的需求调整crontab的执行频次
crontab -e
按一下小写字母 i
粘贴下面一条内容:
*/10 * * * * sh /data/scripts/secure_ssh_blackip_check.sh
粘贴完成后,按一下 ESC 按钮,之后按下英文的冒号按键( : ), 并输入小写 x,回车即可保存。
可以执行 crontab -l 命令,查看是否配置成功
(5)上面配置完成后,可以先手工执行一下脚本,如果/data/blackip/black_ip_collect.txt下有文件生成,则表示脚本配置成功,也可以打开这个文件看看你的服务器是否被扫描过
sh /data/scripts/secure_ssh_blackip_check.sh
cat /data/blackip/black_ip_collect.txt
希望可以帮到大家,这个脚本基本上不占什么资源,可以放心使用。
附件下载地址:
学习一个
谢谢分享,学习了
先看看,不明白的地方再问
感谢分享~
前来顶贴!