4.1 問題
本案例要求編寫腳本,防止遠程ssh暴力破解密碼,具體監控項目要求如下:
檢測ssh登錄日誌,如果遠程登陸賬號名錯誤3次,則屏蔽遠程主機的IP
檢測ssh登錄日誌,如果遠程登陸密碼錯誤3次,則屏蔽遠程主機的IP
4.2 步驟
實現此案例需要按照如下步驟進行。
步驟一:準備工作
1)過濾帳戶名失敗的命令(登陸日誌文件爲/var/log/secure)
[root@svr5 ~]# awk '/Invalid user/{print $10}' /var/log/secure
2)過濾密碼失敗的命令
[root@svr5 ~]# awk '/Failed password/{print $11}' /var/log/secure
步驟二:編寫參考腳本
1)腳本內容如下:
[root@svr5 ~]# vim test.sh
#!/bin/bash
awk '/Failed password/{print $11}' /var/log/secure | awk '{ip[$1]++}END{for(i in ip){print ip[i],i}}' | awk '$1>3{print $2}'
awk '/Invalid user/{print $10}' /var/log/secure | awk '{ip[$1]++}END{for(i in ip){print ip[i],i}}' | awk '$1>3{print $2}'