ssh访问控制,阻断异常IP,防止暴力破解
文章转载自:https://mp.weixin.qq.com/s/oktVy09zJAAH_MMKdXjtIA
由于业务需要将Linux服务器映射到公网访问,SSH 端口已经修改,但还是发现有很多IP进行暴力破解,尝试将异常IP阻止非法访问,实现方式①SSH黑名单 ②Firewalld防火墙添加drop规则;
SSH 黑名单实现思路
①通过lastb获取一小时区间非法登录系统的IP并通过AWK 统计>10次的IP;
②FOR 循环 实现SSH 黑名单添加;
③将SHELL 脚本添加到系统计划任务中。
客户端IP发起登录,Linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止。
#!/bin/bash
DATE=$(date +"%a %b %e %H")
DROP_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
for IP in $DROP_IP; do
if [ $(cat /etc/hosts.deny |grep -c "$IP") -eq 0 ]; then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
done
Firewalld实现思路
①通过lastb获取一小时区间非法登录系统的IP并通过AWK 统计>10次的IP;
②FOR 循环 实现fFirewalld防火墙添加drop规则并重新加载防火墙配置;
③将SHELL 脚本添加到系统计划任务中。
#!/bin/bash
DATE=$(date +"%a %b %e %H")
DROP_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
for ip in $DROP_IP; do
if [ $(firewall-cmd --list-all |grep drop |grep -c "$ip") -eq 0 ]; then
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" drop" >> /dev/null
firewall-cmd --reload >>/dev/null
fi
done
计划任务
[root@ecs-01 opt]# crontab -e
#每5分钟执行一次
*/5 * * * * /usr/bin/bash /opt/fwdrop.sh
*/5 * * * * /usr/bin/bash /opt/sshdrop.sh
Firewall 配置
查看 rich-rule
firewall-cmd --list-rich-rules --zone=public
允许 rich-rule ip
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" accept'
禁止 rich-rule ip
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" drop'
删除 rich-rule ip
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.10.8" drop'
允许 rich-rule ip + port
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" port protocol="tcp" port="22" accept'
禁止 rich-rule ip + port
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" port protocol="tcp" port="22" drop'
删除 rich-rule ip + port
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.10.8" port protocol="tcp" port="22" drop'
禁止 rich-rule icmp
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
删除rich-rule icmp
firewall-cmd --permanent --remove-rich-rule='rule protocol value=icmp drop'
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· Docker 太简单,K8s 太复杂?w7panel 让容器管理更轻松!
2020-11-20 CentOS yum如何安装php7.4