Tcp Wrapper和sudo实践

原创

qq5f4a594050775 2021-01-03 11:32:08 ©著作权

文章标签 Linux 文章分类 运维

©著作权归作者所有：来自51CTO博客作者qq5f4a594050775的原创作品，请联系作者获取转载授权，否则将追究法律责任

1、编写脚本/root/bin/checkip.sh，每5分钟检查一次，如果发现通过ssh登录失败次数超过10次，自动将此远程IP放入Tcp Wrapper的黑名单中予以禁止防问

# 脚本/root/bin/checkip.sh

#!/bin/bash
/usr/bin/awk '/Failed/{ip[$(NF-3)]++}END{for(i in ip){if(ip[i]>10){system("/usr/bin/echo sshd:"i" >> /etc/hosts.deny")}}}' < /var/log/secure


# 编辑计划任务
echo '* */12 * * *  /root/bin/checkip.sh' >> /var/spool/cron/root

2、配置magedu用户的sudo权限，允许magedu用户拥有root权限

# 第一种方案，设置为需要密码才能使用sudo命令
echo "magedu ALL=(ALL) ALL" > /etc/sudoers.d/magedu

# 第二种方案，设置为不需要密码就可以使用sudo命令，不安全，不建议用于生产环境
echo "magedu ALL=(ALL) NOPASSWD:ALL" > /etc/sudoers.d/magedu

# 修改/etc/sudoers.d/mamgedue文件的权限，提升安全性
chmod 0440 /etc/sudoers.d/mamgedu

# 检查sudo权限的配置是否存在问题
visudo -c