CentOS 7 firewalld+ipset+定时任务防御ssh暴力破解——筑梦之路

对于暴露在公网上的linux服务器,很容易被暴力破解登陆,为了增强服务器的安全性,因此对于ssh安全加固是很有必要的,这里主要介绍centos7 系统如何使用ipset+firewalld+定时任务来对ssh服务进行安全加固。

定义firewalld ipset

bash 复制代码
firewall-cmd --permanent --new-ipset=blacklist --type=hash:ip

定义firewalld规则调用ipset

bash 复制代码
firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source ipset=blacklist port protocol="tcp" port=22 drop'

将日志中的ip添加到ipset中

bash 复制代码
# 脚本实现自动加入

#!/bin/bash
# Author: merry
# Description: 使用root账号登录错误大于8次的IP被加入到黑名单中

for ip in `grep -i 'Failed password for root' /var/log/secure | awk '{print $11}' | sort -n | uniq -c | sort -k1nr | awk '{if ($1>8) print $2}'`; do
    firewall-cmd --permanent --ipset=blacklist --add-entry="${ip}";
done;
firewall-cmd --reload;

添加定时任务

bash 复制代码
0 * * * * /opt/blockips.sh >/dev/null 2>&1

检查验证

bash 复制代码
# 查询黑名单IP

firewall-cmd --permanent --info-ipset=blacklist
firewall-cmd --ipset=blacklist --get-entries

# 通过文件查看

cat /etc/firewalld/ipsets/blacklist.xml

当然也可以使用fail2ban这款软件来实现,可根据需要进行选择。

相关推荐
天空'之城8 小时前
Linux 系统编程 22:五种 IO 模型全解
linux
小张成长计划..10 小时前
【Linux】10:冯·诺依曼体系结构和操作系统
linux·运维·服务器
悦儿遥遥雨113 小时前
PXE + Kickstart 无人值守批量部署系统
linux·javascript·nginx
Imagine Miracle14 小时前
【WSL】让WSL2后台持久运行不自动关闭的解决方案
linux·windows·wsl
兔C14 小时前
Linux 命令行入门学习资料 day_2
linux·运维·服务器
eggcode14 小时前
Linux命令基础与操作技巧
linux
二宝哥15 小时前
VMware Workstation 实战:CentOS 7.9 安装、桥接网络配置与克隆管理详解
linux·centos·vmware
AutumnWind042016 小时前
【4种打开Ubuntu(WSL)的方法】
linux·ubuntu
辞旧 lekkk17 小时前
【Qt系统相关】鼠标事件
linux·开发语言·qt·学习·计算机外设·萌新
是摆烂第一名呀17 小时前
【rk3506】U-Boot串口时钟未配置,导致串口彻底失效
linux·arm开发·驱动开发·嵌入式硬件