大家帮我看看这个脚本有没有什么地方可以优化的?

awk就是awp加ak

哦，等等我看看，好像 $ (CONTENT_CMD) 不能执行

Qlin

不能执行. 提示:
-bash: CONTENT_CMD: command not found

awk就是awp加ak

明白了，竟然是多了个空格：

1. MAX_TRYS_PERMINUTE=1
   
2. SAVE_FILE=log
   
3. TAIL_LINES=500
   
4. [ -f $SAVE_FILE ] && CONTENT_CMD="tail -${TAIL_LINES} /var/log/secure" || CONTENT_CMD="cat /var/log/secure"
   
5. 
   
6. ${CONTENT_CMD} |grep 'Authentication failure' |awk '
   
7. 
   
8. function banIP(pIP){
   
9.         
   
10.         print "iptables -A INPUT -s " pIP " -j DROP";
    
11. }
    
12. 
    
13. {
    
14. # $10 为 ip，$3 为时间 hh:mm:ss 格式，根据实际情况修改
    
15.         key = $10 "," substr($3, 1, 5);
    
16.         fails[key]++;
    
17. }
    
18. END {
    
19.         for (key in fails) if (fails[key] > maxTrys){
    
20.                
    
21.                 split(key, arr, ",");
    
22.                 banIP(arr[1]);
    
23.         }
    
24. }
    
25. ' maxTrys=$MAX_TRYS_PERMINUTE |tee -a $SAVE_FILE

复制代码

[ 本帖最后由 awk就是awp加ak 于 2007-2-1 18:27 编辑 ]

Qlin

可以通过,  key = $10 要改成 key = $11

awk就是awp加ak

那就是，没问题了？

Qlin

新改了一个版本,每次读入日志后会记录最后行的行号,下次再执行时会从最后行号开始读取数据, 谢谢楼上名位兄弟.

1. 
   
2. 
   
3. #!/bin/bash
   
4. LOG_FILE='/var/log/secure'; #日志路径
   
5. REPEAT=3;                   #允许重试登入次数
   
6. SLEEP_TIME='30m';           #脚本执行间隔时间(分钟)
   
7. BELIAL_IP='';
   
8. BEGIN_ROW=0;
   
9. 
   
10. while(true)
    
11. do
    
12.     backIFS=$IFS;
    
13.     IFS="\n";
    
14. 
    
15.     re=`tail +$BEGIN_ROW $LOG_FILE | nl`;
    
16. 
    
17.     numRow=`echo $re | awk 'END{ print $1; }'`;
    
18.     let "BEGIN_ROW=$numRow+$BEGIN_ROW";
    
19. 
    
20.     re=`echo $re | awk '{ if($0 ~ /Failed password/) print $12; }'`;
    
21.     ip=`echo $re | sort | uniq -c | awk -v num=$REPEAT '{if($1 > num) print $2;}' | tr "\n" ' ' | tr -s ' '`;
    
22. 
    
23.     IFS=$backIFS;
    
24.     for dip in $ip
    
25.     do
    
26.         if ! echo $BELIAL_IP | grep -q $dip
    
27.         then
    
28.             iptables -A INPUT -s $dip -j DROP
    
29.             BELIAL_IP="$BELIAL_IP $dip";
    
30.         fi
    
31.     done;
    
32. 
    
33.     date >> debug;
    
34.     echo -e $BELIAL_IP"\n"$numRow"\n"  >> debug;
    
35. 
    
36.     sleep $SLEEP_TIME;
    
37. done;
    
38. 
    

复制代码