随着整个IT行业的发展,安全对于人们来说非常的重要,小到个人电脑,到IT企业大数据存储,大到整个互联网安全,其实要做好安全,不能光看整体,有时候细节才是最重要的,相对而言,个人电脑的安全,需要我们从多方面来防御,例如使用目前权威主流的360杀毒软件,然后结合自己上网的习惯,不要打开来历不明的东西等等。
那对于服务器级别的安全,我们该如何来做呢,首先是服务器本身处在的机房环境安全,人为操作安全,以及操作系统方面的安全,禁止不必要的端口和服务、配置服务器自身防火墙,例如iptables,除了这些,服务器就安全了吗,就算我们做到这些,也只是相对的安全。安全是要靠长期和点滴来保证。
说了那么多,呵呵,那我们今天要讨论的是什么呢?今天我们一起来研究一下Linux下如何拒绝恶意IP的攻击,当然这里有很多种方法,我们今天使用脚本来实现。
有部分服务器由于业务的需求,配置了外网IP,允许22端口对外访问,(当然我们这里是来讨论这种情况的初步解决方法,真实环境中如果加强安全的话,服务器前端我们可以配置硬件防火墙,后端管理的话,我们可以使用VPN接入、IP限制、中控机密钥登录、权限命令控制等一系列的方法来巩固局域网服务器的相对安全。)
当我们已经配置了iptables防火墙,我们允许22端口对外网所有人访问,当然这也是为了方便,我们在任何地方都连接上,没有做VPN,也没有做ssh密钥验证,但是我们的密码设置得非常复杂,大小写、特殊符、数字 32位,连自己都记不住,就别人扫描没有3-5年是无法攻破的哈哈。所以每天看/var/log/secure文件里面,全部是恶意攻击的ip,那怎么拒绝这些ip下次再攻击,或者怎么让这些IP尝试3-4次就拒绝访问22端口了,看代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#!/bin/sh
#auto drop ssh failed IP address
#wugk 2013-1-2
#定义变量
SEC_FILE=/var/log/secure
#如下为截取secure文件恶意ip 远程登录22端口,大于等于4次就写入防火墙,禁止以后再登录服务器的22端口
IP_ADDR=`tail -n 1000 /var/log/secure |grep "Failed password"| egrep -o "([0-9]{1,3}\.){3}[0-9]{1,3}" | sort -nr | uniq -c |awk ' $1>=4 {print $2}'`
IPTABLE_CONF=/etc/sysconfig/iptables
echo
cat <
++++++++++++++welcome to use ssh login drop failed ip+++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++------------------------------------++++++++++++++++++
EOF
#打印动态滚动条,参照老男孩博客-数组分析文章
echo -n "请等待5秒后开始执行 "
for ((j=0;j<=4;j++)) ;do echo -n "----------";sleep 1 ;done
echo
for i in `echo $IP_ADDR`
do
#查看iptables配置文件是否含有提取的IP信息
cat $IPTABLE_CONF |grep $i >/dev/null
if
[ $? -ne 0 ];then
#判断iptables配置文件里面是否存在已拒绝的ip,如何不存在就不再添加相应条目
sed -i "/lo/a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP"$IPTABLE_CONF
else
#如何存在的话,就打印提示信息即可
echo "This is $i is exist in iptables,please exit ......"
fi
done
#最后重启iptables生效
/etc/init.d/iptables restart
阅读(991) | 评论(0) | 转发(0) |