有一个 freeBSD 服务器,有一个 bash 脚本。该脚本分析 ipfw 的日志文件(针对未经授权的 ssh 访问),并在损坏的情况下将消息发送到邮件。如果将脚本放在 cron 中,一切都会正常。但如何让脚本实时运行呢?我们的想法是为该活动启动一个脚本。因此,如果有人尝试通过 ssh 连接到服务器,那么它将是一个脚本。但如何实施呢? PS 测试任务。关于fail2ban及其发送邮件的能力了解
答案1
sshd
可以作为独立服务运行,或者从inetd
.如果您从中运行它,您可以在 /usr/bin/sshd 二进制文件周围编写一个简单的包装器,以便在建立连接inetd
时执行您想要的任何操作:ssh
# cat /root/bin/sshd.sh
#!/bin/sh
logger -i -p auth.info "Someone is trying to ssh in"
exec /usr/sbin/sshd "$@"
# ls -l /root/bin/sshd.sh
-rwx------ 1 root wheel 204 Jul 11 13:32 bin/sshd.sh*
# grep ^ssh /etc/rc.conf
sshd_enable="no"
# grep ^ssh /etc/inetd.conf
ssh stream tcp nowait root /root/bin/sshd.sh sshd -i -4
请记住,乱搞ssh
可能会削弱您的安全性,而不是像您试图做的那样加强它。专用产品(例如 Fail2Ban)可能是更好的解决方案。
ssh
此外,如果您以很高的速率接收连接,则在每次连接启动时运行脚本的成本可能会很高。和以前一样,这可能会消耗系统资源并导致拒绝服务。每分钟或每五分钟运行一次 cron 作业可能更可取,因为它只会给系统带来最小的、恒定的负载。每个连接一个脚本模型会增加与攻击压力成正比的负载ssh
。