Прежде всего, не изобретайте велосипед. Это именно то, что denyhosts
для:
DenyHosts is a python program that automatically blocks ssh attacks by
adding entries to /etc/hosts.deny. DenyHosts will also inform Linux
administrators about offending hosts, attacked users and suspicious
logins.
Насколько я знаю, denyhosts
это только для ssh
соединений, но есть также,
fail2ban
что имеет дело почти со всем:
Fail2Ban consists of a client, server and configuration files to limit
brute force authentication attempts.
The server program fail2ban-server is responsible for monitoring log
files and issuing ban/unban commands. It gets configured through a
simple protocol by fail2ban-client, which can also read configuration
files and issue corresponding configuration commands to the server.
Оба доступны в репозиториях:
sudo apt-get install denyhosts fail2ban
Вы также можете написать это, если хотите. Что-то вроде:
#!/usr/bin/env sh
netstat -an |
awk -vmax=100 '/tcp/{split($5,a,":"); if(a[1] > 0 && a[1]!="0.0.0.0"){c[a[1]]++}}
END{for(ip in c){if(c[ip]>max){print ip}}}' |
while read ip; do iptables -I INPUT 1 -s "$ip" -j DROP; done
Он awk
извлечет IP-адреса и посчитает их, а также напечатает только те из них, которые появляются более одного max
раза (здесь -vmax=100
, измените их соответственно) Затем IP-адреса передаются в цикл while, который запускает соответствующее iptables
правило.
Чтобы запустить это 24/7, я бы сделал cronjob, который запускает команду выше каждую минуту или около того. Добавить эту строку в/etc/crontab
* * * * * root /path/to/script.sh