原文地址:http://www.javashuo.com/article/p-bllcdyot-ns.html安全
上两个星期发生了一件事情,让我感受到安全是多么的重要,由于租了一天学生机Linux做为服务器,没想到用了没两个月就出现问题了。给外国黑客ssh暴力破解,而后安装挖矿病毒,致使cpu满了,远程都连接不上,只能重装系统。bash
查看/var/log/secure 文件能够看到不少认证失败的Failure的ip登陆信息。因此想到根据secure文件查看失败的ip若是超过五次,那么就把此ip写入/etc/hosts.deny文件,禁止此ip登陆。我用了第一种方法,设置了定时任务,每分钟执行一次。执行以后,查看secure文件就没有那么多失败的信息日志输出了。 服务器
一、先把始终容许的IP填入 /etc/hosts.allow ,这很重要!好比:
sshd:19.16.18.1:allow
sshd:19.16.18.2:allowssh
2.收集 /var/log/secure 里面的信息,如果某个IP 连接次数超过必定次数 ,则把此ip记录到/etc/hosts.deny里面。
经过crontab来执行,每分钟执行一次。.net
写入定时器 日志
crontab -e
*/1 * * * * /root/Denyhosts/Denyhosts.sh code
查询已存在的定时器blog
crontab -lcrontab
#!/bin/bash
#Denyhosts SHELL SCRIPT
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"=" $1;}' >/root/Denyhosts/Denyhosts.txt
DEFINE="5"
for i in `cat /root/Denyhosts/Denyhosts.txt`
do
IP=`echo $i|awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ]
then
ipExists=`grep $IP /etc/hosts.deny |grep -v grep |wc -l`
if [ $ipExists -lt 1 ]
then
echo "sshd:$IP" >> /etc/hosts.deny
fi
fi
done