本篇主要介绍以下三个部分:
- 反病毒引擎clamav的安装和使用
- ubuntu ufw限制访问地址
- ubuntu用户连接失败锁定指定时间
反病毒引擎clamav的安装和使用
简介
ClamAV是一款开源的反病毒引擎,用于检测病毒,特洛伊木马,恶意软件和其他威胁。 它支持多种文件格式(文档,可执行文件或存档),利用多线程扫描器功能,并且每天至少3-4次接收其签名数据库的更新。
Linux发行版并没有太多的病毒,因此大多数使用这种系统的人甚至都懒得使用防病毒软件。 如果确实需要,可以使用ClamAV。
安装
安装clamav
安装时需要root权限
apt-get install clamav
更新病毒库
freshclam
使用
查看clamav帮助文档
clamscan --help
使用clamav扫描系统
如果要扫描/tmp
,则使用以下命令
clamscan -r -i /tmp
-r表示递归-i只输出被感染文件
如果要全盘扫描,则更换目录为根目录即可
clamscan -r -i /tmp
所有病毒扫描出来之后手动删除,最好不要使用--remove
参数直接删除。也可以使用--move
参数移动到一个集中的目录。
演示
示例结果如下
root@ubuntu:/tmp# clamscan -r -i /tmp
----------- SCAN SUMMARY -----------
Known viruses: 6336991
Engine version: 0.99.2
Scanned directories: 17
Scanned files: 25
Infected files: 0
Data scanned: 3.95 MB
Data read: 2.09 MB (ratio 1.89:1)
Time: 20.427 sec (0 m 20 s)
Infected files字段显示为0,即表示没有感染(一般情况下都不会存在病毒)。
ubuntu ufw限制访问地址
确保ubuntu防火墙处于活跃状态
root@ubuntu:/tmp# ufw status
Status: inactive
root@ubuntu:/tmp# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
root@ubuntu:/tmp# ufw status
Status: active
To Action From
-- ------ ----
5000 ALLOW Anywhere
5000 (v6) ALLOW Anywhere (v6)
ufw处于active状态即表示防火墙处于活跃状态
禁用指定ip
使用以下命令禁用指定ip,以192.168.1.45为例
root@ubuntu:/tmp# ufw deny from 192.168.1.45
Rule added
加上之后来自192.168.1.45的新连接是无法连上的,原来已经连上的连接并不受影响。如果需要断开原有连接,需要kill。
指定ip取消禁用
使用以下命令取消指定ip的禁用,以192.168.1.45为例
root@ubuntu:/tmp# ufw allow from 192.168.1.45
Rule updated
也可以使用以下命令查看所有的防火墙规则,按照编号删除想删除的规则
ufw status numbered
防火墙的具体使用可以参考后续的参考资料。
ubuntu用户连接失败锁定指定时间
faillog命令:With faillog you can lock a user’s account after x number of failed log in attempts.
具体faillog的选项可以使用以下man命令查看
配置方法
修改 /etc/pam.d/common-auth
auth required pam_tally.so per_user magic_root onerr=fail
在顶部加入上面这句话
修改vim /etc/pam.d/sshd
在@include common-auth
上方添加,如下所示
auth required pam_tally.so per_user onerr=fail
# Standard Un*x authentication.
@include common-auth
修改etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes
阿里云ubuntu16.04中UsePAM已经默认为yes
设置失败次数和锁定时长
使用faillog命令即可,具体使用参见man
以下命令设定失败三次后锁定用户,锁定时间为3600秒
faillog -m 3 -l 3600
手动解锁
root修改为你需要解锁的用户名
faillog -u root -r
查看当前锁定的所有用户即时长等信息
faillog -a
废除锁定机制
faillog -m 0
参考: