Shell Script для блокировки IP-адресов

Можно ли написать сценарий оболочки, который проверяет соединения на сервере apache, автоматически блокирует подозрительные IP-адреса с большим количеством соединений и отправляет их по почте системному администратору. Пожалуйста, помогите.

Я также слышал о fail2ban. Будет ли удобно использовать fail2ban или сценарий оболочки, так как сценарий оболочки должен запускаться через регулярные промежутки времени. любые комментарии?

2
задан 25 June 2013 в 11:33

3 ответа

Вы также можете использовать AIPA ( https://aipa.elineo.eu ) для блокировки IP-адресов, занесенных в черные списки, как abuseipdb.com, blocklist.de или myip.ms

.
0
ответ дан 25 June 2013 в 11:33

fail2ban сделает именно то, что вы описали.

Он проверяет соединения, которые пытаются подключиться слишком часто. Вы можете выполнить некоторые настройки с помощью fail2ban, чтобы проверить разные ситуации и запретить IP-адрес на определенное время или навсегда. И, конечно, он может отправить вам отчет по почте.

Я использую его с logcheck, который дает мне более читаемый вывод сообщений fail2ban.

0
ответ дан 25 June 2013 в 11:33

Когда я читал первый абзац, я думал о fail2ban.

Самая большая проблема здесь - обнаружение плохого пользователя. Если вы делаете это вручную, пропустите fail2ban и используйте sudo ufw deny from 1.2.3.4. Это будет постоянный блок, но вы идете.

fail2ban работает лучше всего, когда ваша система (любой сервис, включая динамический веб-сайт) отправляет данные в журналы (системный журнал или сервис). fail2ban Затем нужно найти кучу вещей, а затем, что делать, если он что-то найдет.

Например, в настоящее время я использую плагин fail2ban для Wordpress , который отправляет события в системный журнал. fail2ban обнаруживает три неправильных попытки и затем блокирует IP на пять минут. Это гениальный материал, который почти полностью блокировал атаки грубой силы. Я упоминаю этот плагин, так как это хороший пример простого пользовательского набора правил. Легко увидеть, как это работает, и адаптировать его под свои нужды.

Уведомление по электронной почте довольно просто , но вы можете пойти дальше, и электронная почта сканирует nmap . Подумав об этом, возможно, стоит пропустить IP через whois, распаковать письмо о нарушении и автоматически отправить отчет о нарушении, когда вы забаните пользователя (объясняя почему).

0
ответ дан 25 June 2013 в 11:33

Другие вопросы по тегам:

Похожие вопросы: