对几次输入ssh密码错误的IP进行iptables drop-Mozer-ChinaUnix博客

Mozer--沙落满地

首页　| 　博文目录　| 　关于我

mozer

博客访问： 1502734
博文数量： 297
博客积分： 10010
博客等级：上将
技术积分： 3082
用户组：普通用户
注册时间： 2007-02-07 11:36

文章分类

全部博文（297）

Virtual（1）

Vmware（1）
DATABASE（1）

ORACLE（1）
Job Course（1）
Windows（1）
Programming（16）

C++（1）

Python（7）

TCL（5）

Perl socket（1）

Perl（1）

securty（1）
Essay（2）
HardWare（2）

HardDisk（0）

Audio（0）

VGA（1）

CPU（1）
Linux（267）

JBoss（1）

LDAP（0）

SVN（1）

FTP（2）

bind（1）

Linux-HA（7）

yum（2）

CVS（5）

LVS（6）

Server（0）

Snort（1）

SecurityTools（0）

nmap（1）

awk（0）

文本处理（1）

xml（1）

经验总结（1）

protection（1）

pretend（3）

Attack（5）

Iptables（36）

SElinux（2）

OpenVPN（0）

Sercurity（0）

Mysql（0）

Apache（1）

php+mysql（5）

Unite-Study（0）

SSH（3）

Optimization（1）

sed（0）

vim（1）

FS（0）

File SYStem（0）

individuation（2）

RPMs（2）

小技巧（3）

ftp（2）

例子（5）

linux 审计（3）

合格Linux 管理员（10）

Shell 实战（0）

Expect（3）

study note（3）

experience（1）

tools（8）

example（1）

基本概念（8）

shell编程（18）

命令详解（37）

Tools（3）

skill（3）

System Integrati（6）

LDAP应用及实例（1）

EthNet App（0）

SecurExam（1）

Study Home（8）

kernel（2）

RAID（1）

Shell 片段（4）

Job（2）

Regular Exdivssi（5）

Operations（3）

Basic（0）

Skill（26）

LVM（2）

Squid（4）

Mail（1）
未分配的博文（6）

文章存档

2011年（1）

2009年（45）

2008年（67）

2007年（184）

我的朋友

相关博文

对几次输入ssh密码错误的IP进行iptables drop

分类： LINUX

2007-07-12 14:22:43

.把下面脚本放入/etc/crontab

#扫描ssh密码猜测次数超过5次的记录
* * * * * root /home/cnscn/sh/ssh_scan_crontab.sh >/dev/null 2>&1

.脚本内容
$ cat /home/sh/ssh_scan_crontab.sh
#!/bin/bash
#设置时区
export LC_ALL=UTC

# 获取前1分钟内的secure记录，统计ssh 认证失败的IP和其失败次数, 并用Iptables阻止之

SCANNER=$(awk 'BEGIN{ tm=strftime("%b %e %H:%M",systime()-60);} $0 ~ tm && /Failed password/ && /ssh2/ {print $(NF-3)}' /var/log/secure |sort|uniq -c |awk '{print $1"="$2;}')

for i in $SCANNER
do
echo $i
       # 取认证失败次数
       NUM=`echo $i|awk -F= '{print $1}'`
       # 取其 IP 地址
       IP=`echo $i|awk -F= '{print $2}'`
       # 若其在失败次数超过 5 次且之前没有被阻断过，那么添加一条策略将其阻断，并记录日志
       if [ $NUM -gt 5 ] && [ -z "`/sbin/iptables -vnL INPUT|grep $IP`" ]
       then
               /sbin/iptables -I INPUT -s $IP -j DROP
               echo "/sbin/iptables -I INPUT -s $IP -j DROP" >> /home/cnscn/sh/ssh_scan_iptables.sh
               echo "`date` $IP($NUM)" >> /var/log/scanner.log
       fi
done
#End of Script

.把脚本/home/netadmin/sh/ssh_scan_iptables.sh加入到开机启动的myiptables.sh防火墙脚本
$ cat myiptables.sh
#!/bin/bash
#chkconfig: 345 85 15
#description: my iptables rules, which can auto run when system start

# This is a script establish a static firewall

#网络接口
interdevice="eth0"

#端口
#21       ftp
#22    sshd
#25       smtp
#53       named
#80       http
#110      pop3

#外界可以访问的端口
Open_ports="21 20 22 80"

#可以外出的端口,其它端口都可以外出
Allow_ports="21 20 80 "

#清除所有以前设置的规则
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#执行非法IP阻止规则
/home/netadmin/sh/ssh_scan_iptables.sh

#允许211.167.xxx.xxx, 防止自己输入错误而导致的IP被封锁
/sbin/iptables -I INPUT -s 211.167.xxx.xxx -j ACCEPT

#定义每一个网络接口规则
for eths in $interdevice ; do

#接受所有的，来源不是网络接口$interdevice的数据(对不是eths端口则放行)
#iptables -A INPUT -i ! $eths -j ACCEPT

#定义外界可以访问的端口规则(--dport)
for Port in $Open_ports ; do
iptables -A INPUT -i $eths -p tcp --dport $Port -j ACCEPT
iptables -A INPUT -i $eths -p udp --dport $Port -j ACCEPT
done

#给不应进入机器的数据，欺骗性应答
iptables -A INPUT -i $eths -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i $eths -p udp -j REJECT --reject-with icmp-port-unreachable
done

#forbidden ping,是情况而定,不一定要阻止ping,可以添加 limit 模式限制 ping 的频率.
#iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT

#iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with port-not-be-opened

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#End of Script

阅读(1620) | 评论(0) | 转发(0) |

上一篇：Linux系统防火墙防止DOS和DDOS攻击

下一篇：常用正则表达式

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6