上两个星期发生了一件事情,让我感受到安全是多么的重要,由于租了一天学生机Linux做为服务器,没想到用了没两个月就出现问题了。给外国黑客ssh暴力破解,而后安装挖矿病毒,致使cpu满了,远程都连接不上,只能重装系统。web
查看/var/log/secure 文件能够看到不少认证失败的Failure的ip登陆信息。因此想到根据secure文件查看失败的ip若是超过五次,那么就把此ip写入/etc/hosts.deny文件,禁止此ip登陆。我用了第一种方法,设置了定时任务,每分钟执行一次。执行以后,查看secure文件就没有那么多失败的信息日志输出了。
方法一,
收集 /var/log/secure 里面的信息,如果某个IP 连接次数超过必定次数 ,则把此ip记录到/etc/hosts.deny里面。
经过crontab来执行,每分钟执行一次。vim
安全
*/1 * * * * /bin/bash /root/Denyhosts/Denyhosts.sh
#!/bin/bash
#Denyhosts SHELL SCRIPT
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"=" $1;}' >/root/Denyhosts/Denyhosts.txt
DEFINE="5"
for i in `cat /root/Denyhosts/Denyhosts.txt`
do
IP=`echo $i|awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ]
then
ipExists=`grep $IP /etc/hosts.deny |grep -v grep |wc -l`
if [ $ipExists -lt 1 ]
then
echo "sshd:$IP" >> /etc/hosts.deny
fi
fi
done
方法二,
DenyHosts官方网站为:http://denyhosts.sourceforge.netbash
一. Crontab 介绍服务器
crontab命令的功能是在必定的时间间隔调度一些命令的执行。ssh
二.查看/etc/crontab文件svg
vim /etc/crontab网站
三.文件/etc/crontab中每行任务的描述格式以下:ui
minute hour day month dayofweek commandspa
minute - 从0到59的整数 hour - 从0到23的整数 day - 从1到31的整数 (必须是指定月份的有效日期) month - 从1到12的整数 (或如Jan或Feb简写的月份) dayofweek - 从0到7的整数,0或7用来描述周日 (或用Sun或Mon简写来表示) command - 须要执行的命令(可用as ls /proc >> /tmp/proc或 执行自定义脚本的命令) root表示以root用户身份来运行 run-parts表示后面跟着的是一个文件夹,要执行的是该文件夹下的全部脚本 对于以上各语句,星号(*)表示全部可用的值。例如*在指代month时表示每个月执行(须要符合其余限制条件)该命令。 整数间的连字号(-)表示整数列,例如1-4意思是整数1,2,3,4
指定数值由逗号分开。如:3,4,6,8表示这四个指定整数。
符号“/”指定步进设置。“/”表示步进值。如0-59/2定义每两分钟执行一次。步进值也可用星号表示。如*/3用来运行每三个月份运行指定任务。
以“#”开头的为注释行,不会被执行。
若是一个cron任务须要按期而不是按小时,天,周,月来执行,则须要添加/etc/cron.d目录。这个目录下的全部文件和文件/etc/crontab语法相同,查看样例:
30 3 * * mon cat /proc/meminfo >> /tmp/meminfo
10 4 1 * * /root/scrīpts/backup.sh
除了root用户以外的用户能够执行crontab配置计划任务。全部用户定义的crontab存储在目录/var/spool/cron下,任务会以建立者的身份被执行。要以特定用户建立一个crontab,先以该用户登陆,执行命令crontab -e,系统会启动在VISUAL或者EDITOR中指定的的编辑软件编辑crontab。文件内容与/etc/crontab格式相同。示例以下:
0 3 * * * /home/dbbackup/db1backup.sh backup
0 4 * * * /home/dbbackup/db2backup.sh backup
表示天天3点执行/home/dbbackup/db1backup.sh backup,4点执行/home/dbbackup/db2backup.sh backup,若是是每五分钟执行一次可改成:
*/5 * * * * /home/dbbackup/db2backup.sh backup
当更改的crontab须要保存时,文件会保存在成以下文件/var/spool/cron/username。文件名会根据用户名而不一样。
cron服务会每分钟检查一次/etc/crontab、/etc/cron.d/、/var/spool/cron文件下的变动。若是发现变化,就会下载到存储器中。所以,即便crontab文件改变了,程序也不须要从新启动。推荐自定义的任务使用crontab -e命令添加,退出后用/etc/init.d/crond restart命令重启crond进程,官方文件说不用重启进程,但我遇到不重启没法运行任务的状况。开始不知道/etc/crontab文件中的run-parts是什么意思,直接把命令按照/etc/crontab的格式加上老是没法运行,后来才知道run-parts是指后面跟着的是文件夹。
四.crontab服务的启动关闭
sbin/service crond start //启动服务
/sbin/service crond stop //关闭服务
/sbin/service crond restart //重启服务
/sbin/service crond reload //从新载入配置
要把cron设为在开机的时候自动启动,在 /etc/rc.d/rc.local 脚本中加入 /sbin/service crond start 便可
还有就是我从新设置一下密码可是忘记重启,输入五遍后把本身的ip给锁了,解决的办法就是把/var/log/secure 文件清空, vi /var/log/secure 而后进入命令模式,:.,$d 清空,而后保存文件,再处理/etc/hosts.deny 文件,把须要解除ip的行删除。