Lniux服务器安全访问控制

auth required pam_succeed_if.so user != root quiet
# 禁止本地登陆

 Port 2222

Allowusers root@192.168.18.18 
Allowusers newuers@192.168.1.0/24
#只允许192.168.18.18ip地址并且以root身份登录
#只允许192.168.1.0网段以newusers用户身份登录

#!/bin/bash

####---- 清空iptables策略 ----####
iptables -t nat -F #清空nat表
iptables -X
iptables -t nat -X

####---- INPUT链设置 ----####
iptables -P INPUT DROP  #INPUT默认拒绝
iptables -A INPUT -i lo -j ACCEPT #允许本地数据包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dports  22,80,443,1194,1723,10051,6022 -j ACCEPT
#开放http、https、zabbix-agent、V**(ssh通过V**或修改默认端口)

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -I INPUT  -p icmp -j DROP
# ICMP ping协议


iptables -A INPUT -p tcp -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp -s  172.16.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/16 -j ACCEPT
# 信任内网网段

####---- 白名单ip ----####
iptables -A INPUT -p tcp -s 223.5.5.5 -j ACCEPT
# 信任白名单ip

iptables-save
service iptables save

sshd:192.168.10.1:allow
sshd:10.,172.16.,192.168.:allow

sshd:ALL

# sshd:ALL
# 注释默认不限制 (无固定ip或V**拨入时)

#!/bin/bash
grep Failed /var/log/secure |egrep -o '[0-9]{1,3}(\.[0-9]{1,3}){3}' |sort |uniq -c|sort -nr | awk '{if($1 > 8) print $2}' > /root/deny_ip
#ip尝试失败超过8次，记录到deny_ip文件里
for i in `cat /root/deny_ip`
do
echo "sshd:$i:deny" >> /etc/hosts.deny
rm /root/deny_ip -f
#清理临时文件
echo >  /var/log/secure
#清空secure记录
echo 禁止ip数: $(grep sshd /etc/hosts.deny |wc -l) 更新点:$(date +%Y-%m-%d.%H:%M) >> /root/SSH_Deny.log
#输出日志
done

grep 'SSH' /var/spool/cron/root &>/dev/null  ||echo  '*/5 * * * *  sh /root/SSH_Deny_Rule.sh' >  /var/spool/cron/root

iptables -D INPUT -p tcp -s  $(last |head  -1|awk '{print $3}') -j ACCEPT
iptables -A INPUT -p tcp -s  $(last |head  -1|awk '{print $3}') -j ACCEPT
#针对家用动态ip地址，每次登录自动将其ip加入iptables白名单