Cento7 将每小时SSH暴力破解（登陆失败）超过10次的ip加入系统黑名单

lastb命令：这条命令用于查看一定时间内登陆失败的记录，即使用ssh登陆但是密码输错的记录

如果你用的是云服务器，你会发现登陆失败的记录很多很多，有些就是想暴力破解你的服务器。

屏蔽每小时SSH暴力破解超过10次的ip：
原理：获取当前时间，以小时为最后单位，与lastb中登陆失败的时间匹配，就能匹配出当前小个小时中所有访问失败的ip

然后使用awk命令进行ip统计，统计出每小时暴力破解超过N次的ip，用for循环查询每一个ip，并与linux系统黑名单（/etc/hosts.deny）中的ip去比较，如果这个ip没有被限制，就限制它；如果已经限制了，就输出一个提示符继续下一个。

#!/bin/bash

# =================================
# 屏蔽每小时SSH暴力破解超过10次的ip
# =================================

DATE=$(date +"%a %b %e %H")
# %星期 %月 %天 %时 其中，星期、月都是英文简写显示；用于匹配lastb
# %e:单数字时显示7;而%d显示07

ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
# lastb：上次登录失败的记录
# grep "$DATE"：匹配当前分钟内的ssh失败记录
# {for(i in a)if(a[i]>10)print i}：小括号表示判断条件

echo
echo "以下ip每小时超过10次登陆失败"
echo 
for IP in $ABNORMAL_IP; do

    # 查看系统黑名单中是否已存在需要屏蔽的ip
    insert_ip=`grep "$IP" /etc/hosts.deny | wc -l`
    if [ $insert_ip -le 0 ] ; then
        echo "屏蔽IP：$IP"
        echo "sshd:${IP}" >> /etc/hosts.deny
    else
        echo "IP：$IP 已存在系统黑名单中"
    fi
done

# 重启ssh服务生效
systemctl restart sshd

echo
echo "屏蔽完成"
echo

最后设置一个计划任务，使这个脚本每小时的第50分钟自动执行一次