仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 661|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来主动回绝歹意IP近程登录Linux办事器剧本

[复制链接]
飘飘悠悠 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:30:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!跟着全部IT行业的开展,宁静关于人们来讲十分的主要,小到团体电脑,到IT企业年夜数据存储,年夜到全部互联网宁静,实在要做好宁静,不克不及光看全体,偶然候细节才是最主要的,绝对而言,团体电脑的宁静,必要我们从多方面来进攻,比方利用今朝威望支流的360杀毒软件,然后分离本人上彀的习气,不要翻开来源不明的器材等等。
那关于办事器级其余宁静,我们该怎样来做呢,起首是办事器自己处在的机房情况宁静,工资操纵宁静,和操纵体系方面的宁静,克制不用要的端口和办事、设置办事器本身防火墙,比方iptables,除这些,办事器就宁静了吗,就算我们做到这些,也只是绝对的宁静。宁静是要靠临时和点滴来包管。
说了那末多,呵呵,那我们明天要会商的是甚么呢?明天我们一同来研讨一下Linux下怎样回绝歹意IP的打击,固然这里有良多种***,我们明天利用剧本来完成。
有局部办事器因为营业的需求,设置了外网IP,同意22端口对外会见,(固然我们这里是来会商这类情形的开端办理***,实在情况中假如增强宁静的话,办事器前端我们能够设置硬件防火墙,后端办理的话,我们可使用VPN接进、IP限定、中控秘密钥登录、权限下令把持等一系列的***来牢固局域网办事器的绝对宁静。)
当我们已设置了iptables防火墙,我们同意22端口对外网一切人会见,固然这也是为了便利,我们在任何中央都毗连上,没有做VPN,也没有做ssh密钥考证,可是我们的暗码设置得十分庞大,巨细写、特别符、数字32位,连本人都记不住,就他人扫描没有3-5年是没法攻破的哈哈。以是天天看/var/log/secure文件内里,全体是歹意打击的ip,那怎样回绝这些ip下次再打击,大概怎样让这些IP实验3-4次就回绝会见22端口了,看代码以下:
  1. #!/bin/sh#autodropsshfailedIPaddress#wugk2013-1-2#界说变量SEC_FILE=/var/log/secure#以下为截取secure文件歹意ip近程登录22端口,年夜于即是4次就写进防火墙,克制今后再登录办事器的22端口IP_ADDR=`tail-n1000/var/log/secure|grep"Failedpassword"|egrep-o"([0-9]{1,3}.){3}[0-9]{1,3}"|sort-nr|uniq-c|awk$1>=4{print$2}`IPTABLE_CONF=/etc/sysconfig/iptablesechocat<<EOF++++++++++++++welcometousesshlogindropfailedip+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++------------------------------------++++++++++++++++++EOF#打印静态转动条,参照老男孩博客-数组剖析文章echo-n"请守候5秒后入手下手实行"for((j=0;j<=4;j++));doecho-n"----------";sleep1;doneechoforiin`echo$IP_ADDR`do#检察iptables设置文件是不是含有提取的IP信息cat$IPTABLE_CONF|grep$i>/dev/nullif[$?-ne0];then#判别iptables设置文件内里是不是存在已回绝的ip,怎样不存在就不再增加响应条目sed-i"/lo/a-AINPUT-s$i-mstate--stateNEW-mtcp-ptcp--dport22-jDROP"$IPTABLE_CONFelse#怎样存在的话,就打印提醒信息便可echo"Thisis$iisexistiniptables,pleaseexit......"fidone#最初重启iptables失效/etc/init.d/iptablesrestart
复制代码


如上剧本编写终了,怎样完成主动增加歹意IP呢,实行以下下令,增加到crontab便可,完成每5分钟主动实行该剧本。
  1. echo"*/5****/bin/sh/data/sh/auto_deny_Login.sh>>/data/logs/login/login.log2>&1">>/var/spool/cron/root
复制代码

过几天察看,我们会发明IPTABLES设置文件内里产生了以下变更:截图以下,全体是歹意打击的IP:



以上***仅供参考,另有别的一种***也十分不错,经由过程读取歹意IP登录信息,然后把IP写进/etc/hosts.deny文件高效,一样能够到达效果。
依据本人的实践情形修正,接待人人配合交换和切磋。
欢迎大家来到仓酷云论坛!
分手快乐 该用户已被删除
沙发
发表于 2015-1-16 18:52:58 | 只看该作者

给大家带来主动回绝歹意IP近程登录Linux办事器剧本

随着实验课程的结束,理论课也该结束了,说实话教OS的这两位老师是我们遇到过的不错的老师(这话放这可能不太恰当).
山那边是海 该用户已被删除
板凳
发表于 2015-1-21 12:20:12 | 只看该作者
我们自学,就这个循环的过程中,我们学习了基本操作,用vi,shell,模拟内存的分配过程等一些OS管理。
因胸联盟 该用户已被删除
地板
发表于 2015-1-30 18:08:13 | 只看该作者
随着Linux应用的扩展,出现了不少Linux社区。有一些非常优秀的社区往往是Linux高手的舞台,如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。
变相怪杰 该用户已被删除
5#
发表于 2015-2-6 15:17:38 | 只看该作者
老实说,第一个程序是在C中编译好的,调试好了才在Linux下运行,感觉用vi比较麻烦,因为有错了不能调试,只是提示错误。
不帅 该用户已被删除
6#
发表于 2015-2-16 21:26:31 | 只看该作者
我们这一代90后,从小接触的是windows98,家里条件好的自己有电脑装的是2000,后来又有了XP,上大学时又有了win7。
若天明 该用户已被删除
7#
发表于 2015-3-5 11:41:27 | 只看该作者
现在的linux操作系统如redhat,难点,红旗等,都是用这么一个内核,加上其它的用程序(包括X)构成的。
只想知道 该用户已被删除
8#
发表于 2015-3-12 08:10:18 | 只看该作者
以前觉得Linux就跟dos一样,全是用命令窗口,相对于窗口界面来说多麻烦呀。
简单生活 该用户已被删除
9#
发表于 2015-3-19 21:40:59 | 只看该作者
熟悉操作是日常学习Linux中的三大法宝。以下是作者学习Linux的一些个人经验,供参考:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 04:30

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表