ssh访问控制，阻断异常IP，防止暴力破解

文章转载自：https://mp.weixin.qq.com/s/oktVy09zJAAH_MMKdXjtIA

由于业务需要将Linux服务器映射到公网访问，SSH 端口已经修改，但还是发现有很多IP进行暴力破解，尝试将异常IP阻止非法访问，实现方式①SSH黑名单 ②Firewalld防火墙添加drop规则；

SSH 黑名单实现思路

①通过lastb获取一小时区间非法登录系统的IP并通过AWK 统计>10次的IP；

②FOR 循环实现SSH 黑名单添加；

③将SHELL 脚本添加到系统计划任务中。

客户端IP发起登录，Linux的检查策略是先看/etc/hosts.allow中是否允许，如果允许直接放行；如果没有，则再看/etc/hosts.deny中是否禁止。

#!/bin/bash

DATE=$(date +"%a %b %e %H")

DROP_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')

for IP in $DROP_IP; do

    if [ $(cat /etc/hosts.deny |grep -c "$IP") -eq 0 ]; then

        echo "sshd:$IP:deny" >> /etc/hosts.deny

fi

done

Firewalld实现思路

①通过lastb获取一小时区间非法登录系统的IP并通过AWK 统计>10次的IP；

②FOR 循环实现fFirewalld防火墙添加drop规则并重新加载防火墙配置；

③将SHELL 脚本添加到系统计划任务中。



#!/bin/bash

DATE=$(date +"%a %b %e %H")

DROP_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')

for ip in $DROP_IP; do

    if [ $(firewall-cmd  --list-all |grep drop |grep -c "$ip") -eq 0 ]; then

       firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" drop" >> /dev/null

       firewall-cmd --reload >>/dev/null

      fi

done

计划任务



[root@ecs-01 opt]# crontab    -e

#每5分钟执行一次

*/5 * * * *  /usr/bin/bash /opt/fwdrop.sh

*/5 * * * *  /usr/bin/bash /opt/sshdrop.sh

Firewall 配置

查看 rich-rule

firewall-cmd   --list-rich-rules --zone=public

允许 rich-rule ip

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" accept'

禁止 rich-rule ip

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" drop'

删除 rich-rule ip

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.10.8" drop'

允许 rich-rule ip + port

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" port protocol="tcp" port="22" accept'

禁止 rich-rule ip + port

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.8" port protocol="tcp" port="22" drop'

删除 rich-rule ip + port

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.10.8" port protocol="tcp" port="22" drop'

禁止 rich-rule icmp

firewall-cmd   --permanent --add-rich-rule='rule protocol value=icmp drop'

删除rich-rule icmp

firewall-cmd   --permanent --remove-rich-rule='rule protocol value=icmp drop'

ssh访问控制，阻断异常IP，防止暴力破解的相关教程结束。

《ssh访问控制，阻断异常IP，防止暴力破解.doc》

下载本文的Word格式文档，以方便收藏与打印。

ssh访问控制，阻断异常IP，防止暴力破解

SSH 黑名单实现思路

Firewalld实现思路

计划任务

Firewall 配置

ssh访问控制，阻断异常IP，防止暴力破解的相关教程结束。

相关推荐

flutter 中使用 WebView加载H5页面异常net:ERR_CLEARTEXT_NOT_PERMITTED

centos6.5下系统编译定制iptables防火墙扩展layer7应用层访问控制功能及应用限制QQ2016上网

CKS 考试题整理（13）-使用 sysdig 检查容器里里的异常进程

GO语言异常处理02---返回错误

dubbo could not get local host ip address will use 127.0.0.1 instead 异常处理

执行文件异常报错：ImportError: attempted relative import with no known parent package

在Asp.net MVC中添加一个全局的异常处理的过滤器及Log4Net的使用

20155324《网络对抗》Exp1 PC平台逆向破解（5）M

ssh访问控制，阻断异常IP，防止暴力破解

SSH 黑名单实现思路

Firewalld实现思路

计划任务

Firewall 配置

ssh访问控制，阻断异常IP，防止暴力破解的相关教程结束。

相关推荐

flutter 中使用 WebView加载H5页面异常net:ERR_CLEARTEXT_NOT_PERMITTED

centos6.5下系统编译定制iptables防火墙扩展layer7应用层访问控制功能及应用限制QQ2016上网

CKS 考试题整理 （13）-使用 sysdig 检查容器里里的异常进程

GO语言异常处理02---返回错误

dubbo could not get local host ip address will use 127.0.0.1 instead 异常处理

执行文件异常报错：ImportError: attempted relative import with no known parent package

在Asp.net MVC中添加一个全局的异常处理的过滤器及Log4Net的使用

20155324《网络对抗》Exp1 PC平台逆向破解（5）M

CKS 考试题整理（13）-使用 sysdig 检查容器里里的异常进程