Можно ли написать сценарий оболочки, который проверяет соединения на сервере apache, автоматически блокирует подозрительные IP-адреса с большим количеством соединений и отправляет их по почте системному администратору. Пожалуйста, помогите.
Я также слышал о fail2ban. Будет ли удобно использовать fail2ban или сценарий оболочки, так как сценарий оболочки должен запускаться через регулярные промежутки времени. любые комментарии?
Вы также можете использовать AIPA ( https://aipa.elineo.eu ) для блокировки IP-адресов, занесенных в черные списки, как abuseipdb.com, blocklist.de или myip.ms
.fail2ban сделает именно то, что вы описали.
Он проверяет соединения, которые пытаются подключиться слишком часто. Вы можете выполнить некоторые настройки с помощью fail2ban, чтобы проверить разные ситуации и запретить IP-адрес на определенное время или навсегда. И, конечно, он может отправить вам отчет по почте.
Я использую его с logcheck, который дает мне более читаемый вывод сообщений fail2ban.
Когда я читал первый абзац, я думал о fail2ban
.
Самая большая проблема здесь - обнаружение плохого пользователя. Если вы делаете это вручную, пропустите fail2ban
и используйте sudo ufw deny from 1.2.3.4
. Это будет постоянный блок, но вы идете.
fail2ban
работает лучше всего, когда ваша система (любой сервис, включая динамический веб-сайт) отправляет данные в журналы (системный журнал или сервис). fail2ban
Затем нужно найти кучу вещей, а затем, что делать, если он что-то найдет.
Например, в настоящее время я использую плагин fail2ban
для Wordpress , который отправляет события в системный журнал. fail2ban обнаруживает три неправильных попытки и затем блокирует IP на пять минут. Это гениальный материал, который почти полностью блокировал атаки грубой силы. Я упоминаю этот плагин, так как это хороший пример простого пользовательского набора правил. Легко увидеть, как это работает, и адаптировать его под свои нужды.
Уведомление по электронной почте довольно просто , но вы можете пойти дальше, и электронная почта сканирует nmap . Подумав об этом, возможно, стоит пропустить IP через whois, распаковать письмо о нарушении и автоматически отправить отчет о нарушении, когда вы забаните пользователя (объясняя почему).