大家帮我看看这个脚本有没有什么地方可以优化的?

Qlin

RT.. 第一次写脚本,完全是东查西凑拼出来的. 请大家帮我看看有没有优化的方法或建议. 谢谢.

1. 
   
2. 
   
3. #!/bin/bash
   
4. # 防SSH密码暴力破解脚本
   
5. # 通过分析secure日志文件使用iptables拒绝恶意登入IP
   
6. # by Qlin 2007.01.31
   
7. 
   
8. LOG_FILE='/var/log/secure';         #日志路路径
   
9. SAVE_FILE='belialIP';               #保存iptables拒绝IP文件名
   
10. SAVE_TEMP_FILE=$SAVE_FILE'.temp';   #临时保存拒绝IP文件名,比较用
    
11. IP_REPEAT=6;                        #允许尝试登入次数
    
12. 
    
13. #二次正则是考虑日志文件过大导致sort排序过慢的问题(这只是我个人猜想并不排除正则比排序更慢的情况... -_-!)
    
14. ip=`sed -n -e '/.*Failed password.*/p' $LOG_FILE | sort | uniq -c | awk -v nnm=$IP_REPEAT '{if($1 > num) print $0;}' | sed -n -e 's/.*Failed password.*from[ ]\(.*\)[ ]port.*/\1/p'`;
    
15. 
    
16. backIFS=$IFS;
    
17. IFS="\n";
    
18. 
    
19. if [ -e $SAVE_FILE ]
    
20. then
    
21.     echo $ip > $SAVE_TEMP_FILE;
    
22.     differ=`comm -13 $SAVE_FILE $SAVE_TEMP_FILE`;
    
23.     tmp=`cat $SAVE_FILE`;
    
24.     echo -e $differ"\n"$tmp | uniq | sort > $SAVE_FILE;
    
25. else
    
26.     differ=$ip;
    
27.     echo $ip > $SAVE_FILE;
    
28. fi
    
29. 
    
30. if [ ${differ} ]
    
31. then
    
32.     IFS=$backIFS;
    
33.     ips=`echo $differ | tr "\n" ' ' | tr -s ' '`;
    
34. 
    
35.     for dip in $ips;
    
36.     do
    
37.         iptables -A INPUT -s $dip -j DROP
    
38.     done;
    
39. fi
    
40. 
    
41. 
    

复制代码

awk就是awp加ak

提个建议。
1、获取那些频繁尝试登陆的ip，sed -n -e '/.*Failed password.*/p 完全匹配整一行的模式，可能还没有 grep Failed password 效率好。

2、sort | uniq -c 确实效率不高，而且同一秒内的登陆失败次数，相当的有限，或者你可以在awk 里面计算相同ip在某一分钟、某一小时的失败次数

HonestQiao

看样子，你这个脚本是定时执行的。
那么每次都对这个文件过滤的话，我感觉效率不高。

不如使用tail -f /var/log/secure | 这样子的方式，来调用你的程序，效率更好。

Qlin

谢谢楼上二位兄弟的建议. 马上改进..

awk就是awp加ak

直观一点儿，

1. MAX_TRYS_PERMINUTE=1
   
2. SAVE_FILE=log
   
3. grep 'Authentication failure' /var/log/secure |awk '
   
4. 
   
5. function banIP(pIP){
   
6.        
   
7.         print "iptables -A INPUT -s " pIP " -j DROP";
   
8. }
   
9. 
   
10. {
    
11. # $10 为 ip，$3 为时间 hh:mm:ss 格式，根据实际情况修改
    
12.         key = $10 "," substr($3, 1, 5);
    
13.         fails[key]++;
    
14. }
    
15. END {
    
16.         for (key in fails) if (fails[key] > maxTrys){
    
17.                
    
18.                 split(key, arr, ",");
    
19.                 banIP(arr[1]);
    
20.         }
    
21. }
    
22. ' maxTrys=$MAX_TRYS_PERMINUTE | tee $SAVE_FILE |sh
    

复制代码

awk就是awp加ak

tail -f 的方式，需要将数据保存，保存到什么时候扔掉？
这样吧，判断如果存在文件 SAVE_FILE，则 tail -${ TAIL_LINES } ，否则全部获取。
没测试：

1. 
   
2. MAX_TRYS_PERMINUTE=1
   
3. SAVE_FILE=log
   
4. TAIL_LINES=500
   
5. [ -f $SAVE_FILE ] && CONTENT_CMD="tail -${ TAIL_LINES } /var/log/secure" || CONTENT_CMD="cat /var/log/secure"
   
6. 
   
7. $( CONTENT_CMD ) |grep 'Authentication failure' |awk '
   
8. 
   
9. function banIP(pIP){
   
10.         
    
11.         print "iptables -A INPUT -s " pIP " -j DROP";
    
12. }
    
13. 
    
14. {
    
15. # $10 为 ip，$3 为时间 hh:mm:ss 格式，根据实际情况修改
    
16.         key = $10 "," substr($3, 1, 5);
    
17.         fails[key]++;
    
18. }
    
19. END {
    
20.         for (key in fails) if (fails[key] > maxTrys){
    
21.                
    
22.                 split(key, arr, ",");
    
23.                 banIP(arr[1]);
    
24.         }
    
25. }
    
26. ' maxTrys=$MAX_TRYS_PERMINUTE |tee -a $SAVE_FILE |sh

复制代码

Qlin

1, 貌似不能在awk代码中调用bash里定义的方法,如下代码测试不行..

1. 
   
2. 
   
3. #!/bin/bash
   
4. XXX() {
   
5.     .....
   
6. }
   
7. 
   
8. tail -f log | awk '{if($0 ~ /Failed password/) { XXX } fflush(); }';
   
9. 
   

复制代码

2,因为上一个行不通,所以考虑能不能显示指定的行数. 比如说第一次cat 显示文件所有的行数,然后脚本记录下最后一行的行数,第二次cat时从上一次最后一行开始显示,找了一下貌似也不能实现...

现在就卡在这里了.... :em16 不知大家有什么好的方法...

awk就是awp加ak

帮我测试一下6F，Authentication failure 修改一下 ^_^

Qlin

6F 的代码要如何执行...?

awk就是awp加ak

copy & paste ，最好先不拷贝最后的 |sh