全球主机交流论坛

标题: 分享个命令 [打印本页]

---

作者: ljty    时间: 2024-6-7 11:33
标题: 分享个命令


cd /var/log && cat auth.log | grep "Failed password" | awk '{print $(NF-3)}' | uniq | sort | uniq -c | awk '{print "ufw deny from " $2}'

---

作者: HOH    时间: 2024-6-7 11:33
我没有安装ufw，下一位

---

作者: Inventus    时间: 2024-6-7 12:16
Mark一下

---

作者: llyang    时间: 2024-6-7 12:50


我不用密码登录
我用public key登录
你这玩意儿也有用？

确实，防火墙不是ufw也没用

================================

我总觉得，添加那么多的rule进去不好，弱密随它扫
再说，他换个IP一样扫，这些人，不缺IP

================================

另外，这段可以简单改写
uniq | sort | uniq -c
==》
sort -u

---

作者: 920    时间: 2024-6-7 13:07
查询登录日志，把尝试密码登录失败的的ip都ban了，哪天自己不小心输错一次密码就麻烦了

---

作者: ljty    时间: 2024-6-7 13:26

920 发表于 2024-6-7 13:07
查询登录日志，把尝试密码登录失败的的ip都ban了，哪天自己不小心输错一次密码就麻烦了 ...

谢谢提醒！改了。

---

作者: kennyS    时间: 2024-6-7 14:40
有用个鸡毛用，顺序匹配了解下。自己测试下
既然你考虑防止被爆破的情况，是不是已经开放了ssh端口？你这样添加的规则没毛用。
简单的ipv4就insert 1，完善就写脚本加判断。
之前写过一个脚本，deny就重新插入前面（区分ipv4和ipv6）

---

作者: ljty    时间: 2024-6-7 14:46

kennyS 发表于 2024-6-7 14:40
有用个鸡毛用，顺序匹配了解下。自己测试下
既然你考虑防止被爆破的情况，是不是已经开放了ssh端口 ...

发现log里有尝试的登录日志，筛一下。算是记录吧。

---

作者: kennyS    时间: 2024-6-7 15:01

ljty 发表于 2024-6-7 07:46
发现log里有尝试的登录日志，筛一下。算是记录吧。

脚本这样写，自己加个判断规则条数为0就直接添加
ipv4
ufw insert 1 deny from ${rule}

ipv6

ufw insert `ufw status numbered | grep '(v6)' | grep -o '[0-9]*' | head -n 1` deny from ${rule}

---

欢迎光临 全球主机交流论坛 (https://443502.xyz/)

Powered by Discuz! X3.4