CentOS 7 firewalld+ipset+定时任务防御ssh暴力破解——筑梦之路
2023-12-26 12:30:40
对于暴露在公网上的linux服务器,很容易被暴力破解登陆,为了增强服务器的安全性,因此对于ssh安全加固是很有必要的,这里主要介绍centos7 系统如何使用ipset+firewalld+定时任务来对ssh服务进行安全加固。
定义firewalld ipset
firewall-cmd --permanent --new-ipset=blacklist --type=hash:ip定义firewalld规则调用ipset
firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source ipset=blacklist port protocol="tcp" port=22 drop'将日志中的ip添加到ipset中
# 脚本实现自动加入
#!/bin/bash
# Author: merry
# Description: 使用root账号登录错误大于8次的IP被加入到黑名单中
for ip in `grep -i 'Failed password for root' /var/log/secure | awk '{print $11}' | sort -n | uniq -c | sort -k1nr | awk '{if ($1>8) print $2}'`; do
firewall-cmd --permanent --ipset=blacklist --add-entry="${ip}";
done;
firewall-cmd --reload;添加定时任务
0 * * * * /opt/blockips.sh >/dev/null 2>&1检查验证
# 查询黑名单IP
firewall-cmd --permanent --info-ipset=blacklist
firewall-cmd --ipset=blacklist --get-entries
# 通过文件查看
cat /etc/firewalld/ipsets/blacklist.xml当然也可以使用fail2ban这款软件来实现,可根据需要进行选择。
文章来源:https://blog.csdn.net/qq_34777982/article/details/135216628
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!