分享个命令

ljty · 发表于 2024-6-7 11:33:19

本帖最后由 ljty 于 2024-6-7 13:25 编辑

cd /var/log && cat auth.log | grep "Failed password" | awk '{print $(NF-3)}' | uniq | sort | uniq -c | awk '{print "ufw deny from " $2}'

kennyS · 发表于 2024-6-7 14:40:52

有用个鸡毛用

，顺序匹配了解下。自己测试下

既然你考虑防止被爆破的情况，是不是已经开放了ssh端口？你这样添加的规则没毛用。
简单的ipv4就insert 1，完善就写脚本加判断。
之前写过一个脚本，deny就重新插入前面（区分ipv4和ipv6）

HOH · 发表于 2024-6-7 11:33:49

我没有安装ufw，下一位

Inventus · 发表于 2024-6-7 12:16:16

Mark一下

llyang · 发表于 2024-6-7 12:50:35

本帖最后由 llyang 于 2024-6-7 13:26 编辑

我不用密码登录
我用public key登录
你这玩意儿也有用？

确实，防火墙不是ufw也没用

================================

我总觉得，添加那么多的rule进去不好，弱密随它扫
再说，他换个IP一样扫，这些人，不缺IP

================================

另外，这段可以简单改写
uniq | sort | uniq -c
==》
sort -u

920 · 发表于 2024-6-7 13:07:37

查询登录日志，把尝试密码登录失败的的ip都ban了，哪天自己不小心输错一次密码就麻烦了

ljty · 发表于 2024-6-7 13:26:19

920 发表于 2024-6-7 13:07
查询登录日志，把尝试密码登录失败的的ip都ban了，哪天自己不小心输错一次密码就麻烦了 ...

谢谢提醒！改了。

ljty · 发表于 2024-6-7 14:46:41

kennyS 发表于 2024-6-7 14:40
有用个鸡毛用，顺序匹配了解下。自己测试下
既然你考虑防止被爆破的情况，是不是已经开放了ssh端口 ...

发现log里有尝试的登录日志，筛一下。算是记录吧。

kennyS · 发表于 2024-6-7 15:01:02

本帖最后由 kennyS 于 2024-6-7 08:07 编辑

ljty 发表于 2024-6-7 07:46
发现log里有尝试的登录日志，筛一下。算是记录吧。

脚本这样写，自己加个判断规则条数为0就直接添加
ipv4
ufw insert 1 deny from ${rule}

ipv6

ufw insert `ufw status numbered | grep '(v6)' | grep -o '[0-9]*' | head -n 1` deny from ${rule}

		自动登录	找回密码
密码			注册