首先修改ssh端口。
创建脚本pb_ssh.sh
#! /bin/bash #crontab 每隔1分钟执行一次 #*/1 * * * * /root/pb_ssh.sh # 获取前 1 分钟内的 secure 记录,统计 ssh 认证失败的 IP 和其 失败次数 SCANNER=`grep "$(date -d -1min|awk ‘{print substr($0,10,7)}‘)" /var/log/secure|awk ‘/Failed/{print $(NF-3)}‘|awk -F":" ‘{print $NF}‘|grep -v from|sort|uniq -c|awk ‘{print $1"="$2;}‘` for i in $SCANNER do # 取认证失败次数 NUM=`echo $i|awk -F= ‘{print $1}‘` # 取其 IP 地址 IP=`echo $i|awk -F= ‘{print $2}‘` # 若其在失败次数超过 5 次且之前没有被阻断过,那么添加一条策略将其阻断,并记录日志 if [ $NUM -gt 5 ] && [ -z "`iptables -vnL INPUT|grep $IP`" ] then /sbin/iptables -I INPUT -s $IP -j DROP echo "`date` $IP($NUM)" >> /var/log/scanner.log fi done |
恢复被屏蔽的IP,从另外一台服务器登录,重启防火墙服务即可
iptables -L
iptables -vnL INPUT
配置步骤
su - root
chown root.root pb_ssh.sh
chmod 755 pb_ssh.sh
#crontab 每隔1分钟执行一次 防止ssh扫描
*/1 * * * * /root/pb_ssh.sh
或者使用denyhosts软件。
原文:http://xficc.blog.51cto.com/1189288/1561769