将SSH多次登录失败的IP加入黑名单

原创 已于 2023-03-13 17:09:05 修改 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #网络 #运维 #系统安全

于 2022-11-02 11:28:28 首次发布

最近刚公司搞网络安全攻防演练,正好整理用到的一些命令。

这次记录的是将SSH多次登录失败的IP加入黑名单的过程。

# 统计暴力破解次数
awk '/Failed/{fa[$(NF-3)]++}END{for(pol in fa)print pol,fa[pol]}' /var/log/secure|column -t

虽然将ssh的端口更改了,但还是免不了被人发现,并且尝试暴力破解

 天天搞啥,离谱的一个IP爆破了12W次......  全是老外搞事。。。

列出登入失败的用户记录
lastb

网友们的解决方案,发现可以使用定时任务来检查登录失败主机列表,并将达到登录失败次数的主机IP地址加入到黑名单。

感觉很不错,为了服务器的安全,我决定在服务器也弄一个,降低 sshd 服务的压力。

脚本如下:

#!/usr/bin/bash

# 通过lastb获取登录失败的IP及登录失败的次数
lastb | awk '{print $3}' | grep ^[0-9] | sort | uniq -c | awk '{print $1"\t"$2}' > /tmp/host_list
list=`cat /tmp/host_list`
line=`wc -l /tmp/host_list | awk '{print $1}'`
count=1

# 如果/tmp/host_list中有数据,循环至少需要执行一次
while [[ "$line" -ge "$count" ]]; do
        ip_add=`echo $list | awk '{FS="\t"} {print $2}'`
        num=`echo $list | awk  '{FS="\t"} {print $1}'`
        #   登录失败达到5次就将该IP写入文件
        if [[ "$num" -ge 5 ]]; then
                grep "$ip_add" /etc/hosts.deny &> /dev/null
                if [[ "$?" -gt 0 ]]; then
                        # --------> 此处添加当前系统时间,请根据实际情况定义日期格式
                        echo "# $(date +%F' '%H:%M:%S)" >> /etc/hosts.deny
                        echo "sshd:$ip_add" >> /etc/hosts.deny
                fi
        fi
        let count+=1
        #   删除已经写入文件的IP
        sed -i '1d' /tmp/host_list
        #   修改$list变量
        list=`cat /tmp/host_list`
done

# 清空临时文件
echo '' > /tmp/host_list
exit 0

弄好脚本将其加到 crontab 定时任务执行就完成了~

SSH安全防护脚本--自动添加到/etc/hosts.deny
tangbin0505的博客
04-27 1571
1 修改ssh默认端口 vim /etc/ssh/sshd_config Port 2*** systemctl restart sshd 2 检查命令 awk '/Failed/{print $(NF-3)}' /var/log/secure|sort|uniq -c|awk '{print $2 "=" $1}' 3 编写脚本 vim limit_ssh.sh # 输入密码...
SSH访问控制,多次失败登录即封掉IP,防止暴力破解
eagle89的专栏
04-30 1802
SSH访问控制,多次失败登录即封掉IP,防止暴力破解
SSH 登录错误超时次数自动加入ip黑名单
getIt的博客
09-28 1713
ssh 防止被暴力破解,自动拉黑IP脚本 上代码。secure_ssh.sh #! /bin/bash cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /home/secure/black_list.txt for i in `cat /home/secure/black_list.txt` do IP=`echo $i |awk -F= '{print $.
Linux通过ssh限制IP登录-指定或禁止用户登录,加黑名单,白名单
m0_50760467的博客
10-11 7086
原理:hosts.allow 和hosts.deny 两个文件同时设置规则的时候,hosts.allow 文件中的规则优先级高,在hosts.allow 文件中允许192.168.200.0/24这个段的 IP 地址的 ssh 登录,hosts.deny文件中禁止所有IP登录,按照此方法设置后服务器只允许 192.168.200.0/24这个段的 IP 地址的 ssh 登录,其它的IP 都会拒绝。##3.只允许192.168.200.0段的IP登录,其他所有IP段无法登陆。
第十一周-ssh登录失败次数超过10次,自动将此远程IP放入Tcp Wrapper的黑名单中予以禁止防问
sunno326的博客
04-27 1118
1、编写脚本/root/bin/checkip.sh,每5分钟检查一次,如果发现通过ssh登录失败次数超过10次,自动将此远程IP放入Tcp Wrapper的黑名单中予以禁止防问 1>创建脚本 [root@centos7 ~]# vim bin/checkip.sh #!/bin/bash #过滤/var/log/secure日志,因为有密码输入错误和用户名输入错误,awk取IP值要利用N...
shell脚本实现: 过滤系统日志 把ssh登录失败次数过多者加入访问黑名单
o_8_o的博客
08-02 1044
涉及知识点 wrappers是一个工作在传输层的安全工具,凡是调用了libwrap.so库文件的应用都受wrappers的访问控制。wrappers依赖/etc/hosts.allow和/etc/hosts.deny两个文件,wrappers会先检查/etc/hosts.allow白名单,然后检查/etc/hosts.deny黑名单。 查看应用程序是否受wrappers控制方法(以sshd应用...
Linux 服务器自动拉黑ssh登录失败IP
喵呜
06-09 3223
最近有的人很闲,在网上到处瞎登服务器,今天一看一晚上失败登录517次 写个脚本将登录失败IP加入ssh黑名单
SSH黑白名单
weixin_50196615的博客
04-05 4590
方法一:修改白名单/etc/hosts.allow或者黑名单/etc/hosts.deny(系统) 方法二:在/etc/ssh/sshd_config添加DenyUsers user或者 AllowUsers user(user即位要添加的用户名) 如果要添加多个用户的话,用空格隔开即可 ...
shell实现将登录失败次数超过5次ip拉入黑名单,以防暴力破解
weixin_38061373的博客
04-15 4079
shell脚本实现登录失败次数超过5次的IP拉入黑名单的功能,以防遭遇暴力破解
分析SSH登录尝试的日志文件,如果某个IP地址失败次数超过5次,加入黑名单
为了生活,不得不努力奋斗!
11-28 1388
KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}̲' 命令会取出等号后的数字,并…
SSH黑白名单那些事儿
SRE成长记
01-17 1293
SSH黑白名单那些事儿
Linux远程连接的黑白名单实用细讲【ssh
dddxxy的博客
04-10 4562
阅读过我上篇博客的朋友相信已经学会了如何远程连接以及免密连接。 接下来我们来了解ssh服务下的远程连接黑名单/白名单/ 以及禁止root权限登陆。 【黑白名单】\color{blue}{【黑白名单】}【黑白名单】 黑名单: 我们这里的黑名单和字面意思上的黑名单不大相同。可能很多人会将其理解为pc1禁止掉其他pc用户的登陆。但事实上不是这样的。ssh服务的黑名单是服务器禁止其他任何pc以服务器自己的...
SSH 3次失败自动封锁IP
明天乌儿会歌唱
12-30 4239
2021年做的最后一个小东西 此功能用了2个sh脚本文件 daemon.sh,周期性调用真正的屏蔽任务fail3ssh.sh #!/bin/sh export LD_LIBRARY_PATH=./ while true; do ./fail3ssh.sh sleep 120 done fail3ssh.sh此脚本,会分析auth.log文件,对里面有3次ssh登录失败IP地址进行封锁! #!/bin/bash cat /var/log/auth.log ...
Linux设置SSH黑名单 白名单
Arno_An的博客
12-26 9804
文章目录1 编辑配置文件2 设置白名单3 设置黑名单4 重启ssh服务生效 1 编辑配置文件 vim /etc/ssh/sshd_config 2 设置白名单 白名单是指可以登录服务器的用户或域 # 设置用户 AllowUser USER1 USER2 USER1@HOST # 设置用户组 AllowGroups GROUP1 GROUP2 3 设置黑名单 黑名单是指禁止登录服务器的用户或域 # 设置用户 DenyUser USER1 USER2 USER1@HOST # 设置用户组 DenyGroup
ssh禁止某用户登录
weixin_46516921的博客
11-15 676
一般来讲,出于安全问题,会考虑静止ssh的某些用户的登录。指定哪些用户可以登录ssh
linux 服务器加 SSH 黑名单
哈哈虎的博客
07-21 1389
http://antivirus.neu.edu.cn/scan/ssh.php 由于服务器不允许 root 登录,只能 sudo 方式 所以,给以下代码分别加上 sudo #开始复制 ldd which sshd | grep libwrap # 确认sshd是否支持TCP Wrapper,输出类似:libwrap.so.0 => /lib/libwrap.so.0 (0x00bd1000) cd /usr/local/bin/ sudo wget antivirus.neu.edu.cn/ssh/
Linux设置ssh黑/白名单
热门推荐
weixin_44316575的博客
01-09 1万+
在考试RHCE的时候,有这么一道题目,用户能够从xxx内的客户端ssh远程访问你的服务器,在xxx内的客户端不能访问你的服务。有人说可以用防火墙来设置,不错!是可以。但是,如果你仔细检查的话会发现,RHCE考试的试卷往往防火墙只有一个区域,trusted,在设置时候也不会报错,当你查的时候发现没有block区域,这时,你就需要去配置ssh黑名单来解决 修改配置文件/etc/ssh/sshd_con...
SSH限制访问黑名单
最新发布
06-27
可以通过配置 `/etc/hosts.deny` 和 SSH 服务配置文件 `/etc/ssh/sshd_config` 来实现对 SSH 访问的黑名单限制。以下是具体的操作步骤: ### 1. 使用 `hosts.deny` 配置黑名单 编辑 `/etc/hosts.deny` 文件,添加以下内容以阻止特定 IP 地址或所有连接。 - **阻止单个 IP 地址**: ```bash sshd:192.168.2.2 ``` - **阻止多个 IP 地址**: ```bash sshd:192.168.2.2 sshd:192.168.2.3 ``` - **阻止所有 IP 地址(慎用)**: ```bash sshd:ALL ``` 该方法通过 TCP Wrappers 实现访问控制,适用于大多数基于 Linux 的系统 [^1]。 --- ### 2. 在 `sshd_config` 中启用黑名单功能 确保 `/etc/ssh/sshd_config` 中启用了黑名单支持,并结合其他安全措施进一步强化安全性。 - 编辑配置文件: ```bash sudo vi /etc/ssh/sshd_config ``` - 确保以下配置项已设置: ```bash DenyUsers root user1 user2 # 拒绝特定用户登录 DenyGroups group1 group2 # 拒绝特定组登录 AllowUsers user3 user4 # 白名单:仅允许特定用户登录 ``` 这些参数可以与 `/etc/hosts.deny` 协同工作,实现更精细的访问控制 [^3]。 --- ### 3. 自动化脚本添加失败尝试过多的 IP黑名单 如果需要自动化地将频繁失败尝试的 IP 加入黑名单,可以使用如下脚本: ```bash iplist=$(lastb | awk '{print $3}' | sort | uniq -c | awk '{if ($1>1500) print $2}' | grep -v "^10.0.0.") for ip in ${iplist}; do echo "sshd:${ip}:deny" >> /etc/hosts.deny done echo > /var/log/btmp ``` 此脚本会分析 `lastb` 日志中的失败登录记录,并自动将尝试次数超过阈值的 IP 添加到黑名单中 [^4]。 --- ### 4. 验证和重启 SSH 服务 完成配置后,需重新加载 SSH 配置以使更改生效: ```bash sudo systemctl reload sshd ``` 确保测试连接以验证黑名单是否正常工作。例如,从被禁止的 IP 尝试登录时应被拒绝。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值