使用壳作为一个守护进程背景控制的安全访问
点评:如何做一个后台守护进程的访问控制安全这是贯穿这篇文章的核心概念。我的控制访问非常特殊。考虑到远程登陆点是不固定的,不可能通过SSH设置一个固定的IP登录到服务器,所以N更多的IP将试图破解您的用户名和密码通过黑客软件(基本上是穷人,不怕10000万一,所以我写这。
如何做一个后台守护进程访问控制安全这是贯穿这篇文章的核心概念。
我的控制访问非常特殊。考虑到远程登陆点是不固定的,不可能通过SSH设置一个固定的IP登录到服务器,这样,N多IP将试图通过黑客软件破解您的用户名和密码。
安全:使用 / / /等hosts.deny文件直到找到匹配。等/ hosts.allow和iptables做TCP封装控制访问和进一步过滤。
最短的crontab执行周期进行每1分钟,和下面的代码最短执行周期可定制(最短的一次)。
脚本名称:sshd_monitor
# /斌/ SH!
而真正的
使用时真的做#周期,所以当后台脚本将始终根据睡眠时间长度执行任务
做
猫/无功/日志/安全* | awk({如果= =无效)打印}的| SED的 /::: / /克范围的|排序n | uniq C | awk {if(>=5)打印> /根/ lawless_ip }
#在安全日志,访问登录失败5次大于IP输入到lawless_ip文件
行= `猫/根/ lawless_ip | WC L `
#记录在lawless_ip文件IP记录数
= 0
在Z 1中的Z $行
# from the first IP to write rules to lawless_ip_deny this temporary file, the result will be similar to ALL:123.123.123.123..........
做
a = $ $ A 1 }
row_ip = `猫/根/ lawless_ip | SED-N-E P美元。
回声E:row_ip美元> / / lawless_ip_deny根
多恩
猫/根/ lawless_ip_deny > /等/ hosts.deny文件直到找到匹配。
#当时的lawless_ip_deny文件的内容写入到hosts.deny文件直到找到匹配。
RM / / lawless_ip_deny根
#删除临时文件
10睡眠
#每隔10秒执行而行动
多恩
为了防止起降超过5次的失败,禁止添加它自己的机器在/ etc / hosts.allow或许可的规则匹配,IP可以登录,如:192.168.10.12.remember,一般允许比拒绝更高的优先权。此外,在/ etc / rc.local SH /目录/ sshd_monitor,你可以运行这个脚本在后台每次启动服务器。
以上方法只是画砖,所以Deamon可以书面监测的各种要求,如FTP、HTTP、过程,等等。这是相当实际的。