Zabbix实战-简易教程--安全类--ssh暴力破解监控

作者：@skyflask
转载本文请注明出处：https://www.cnblogs.com/skyflask/articles/7659958.html

目录
一、背景需求
二、寻求解决办法
三、制作脚本和自定义key
四、制作模板
五、主机上套
六、效果图
七、参考文献和脚本

一、背景需求

最近公司使用开始金山云的机器，云主机大家都知道的，很多人没有设置安全组（防火墙）的习惯，理所当然就成了黑客的下饭菜了。当然，我们的云主机也是有设置密码的，所以黑客一般是通过穷举法来进行暴力破解SSH登陆，为了阻止黑客们这一恶心的行为，就有了下面这篇文章。

二、寻求解决办法

需要知道是否有人在尝试登陆我们的服务器（这里指linux服务器），我们知道，secure log里面会进行详细记录：

我这里只是截取了部分log。

从上面我们可以看到，如果用户登陆失败或者成功时，都会有详细的记录：时间点、主机、来源IP、什么原因导致失败等。

所以，我们监考ssh暴力破解就从secure log开始。

但是，如果同时攻击的IP非常多，此时我们就需要详细记录每个IP攻击的次数，然后根据攻击次数进行封IP了。我们可以通过zabbix的报警功能，来进行提示用户已经封了多少IP。所以，这里需要采用LLD方式。

三、制作脚本和自定义key

1、脚本

#!/bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2":"$1;}'  >/etc/zabbix/externalscripts/ssh_failed.txt
chown -R zabbix:zabbix /etc/zabbix/externalscripts/ssh_failed.txt
ssharray=(`cat /etc/zabbix/externalscripts/ssh_failed.txt|awk -F[:] '{print $1}' 2>/dev/null`)
length2=${#ssharray[@]}
printf "{\n"
printf  '\t'"\"data\":["
for ((i=0;i<$length2;i++))
do
    printf '\n\t\t{'
    printf "\"{#SSHIP}\":\"${ssharray[$i]}\"}"
    if [ $i -lt $[$length2-1] ];then
            printf ','
    fi
done
printf  "\n\t]\n"
printf "}\n"

2、自定义key

#auto discovery ssh Failed
UserParameter=custom.ssh.failed.discovery, /bin/sh /etc/zabbix/externalscripts/secure.sh
UserParameter=custom.ssh.failed.num[*], cat /etc/zabbix/externalscripts/ssh_failed.txt | egrep $1 | head -1 | awk -F[:] '{print $$2}'