一个简单的ssh安全shell脚本

• 自动化禁止恶意IP访问

  • 应用场景：防止恶意IP尝试ssh登录。

  • 脚本说明：将密码输入错误超过4次的IP地址通过iptables防火墙阻止访问。

    • 首先，需要知道ssh远程访问记录在哪个文件中/var/log/secure

    • 其次，模拟远程访问输错密码，查看日志文件，Dec 26 11:34:53 agent1 sshd[3060]: Failed password for root from 192.168.211.1 port 2075 ssh2

    • 再次，通过日志可以看到关键信息“Failed password”表示密码错误，有可能是手误输错，所以就需要设定几次错误为恶意试探密码，建议设置为4，另一个关键信息是需要将密码错误的IP地址提取出来，对提取出来的IP地址进行统计次数

    • 最后，需要明确怎么在脚本中通过iptables策略设置阻止恶意IP访问

  • 策略添加到哪里合适

  • 防火墙配置文件等

• 创建secury.sh文件：

  #! /bin/bash
  ​
  uniq_hosts=`sed -n "/.* Failed password/p" /var/log/secure | awk '{print $11}' | uniq`
  over_time=5
  ​
  for host in ${uniq_hosts[*]};do
      sum=`sed -n "/.* Failed password/p" /var/log/secure | awk '{print $11}' | sed -n '/'"${host}"'/p' | wc -l`
      if [ ${sum} -gt ${over_time} ];then
          echo "${host}客户端有安全问题,进行禁止访问"
          # 先添加服务
          firewall-cmd --add-service=ssh &> /dev/null
          # 再添加富规则
          firewall-cmd --add-rich-rule 'rule family="ipv4" source address="${host}" service name="ssh" reject' &> /dev/null
          # 查看
          firewall-cmd --list-all
      fi
  done    

• 在例行任务中，执行脚本

  cat << eof >> /var/spool/cron/root
  0 0,12 * * * root ~/secury.sh
  eof

  systemctl restart crond