SSH 登录失败自动封锁工具

工具介绍#

在服务器管理中，SSH 暴力破解攻击是一个常见的安全威胁。攻击者会尝试使用各种用户名和密码组合来登录服务器，这不仅会占用服务器资源，还可能导致安全漏洞。为了解决这个问题，我开发了一款 SSH 登录失败自动封锁工具，能够自动检测并封锁多次登录失败的 IP 地址。

工具功能#

• 自动检测：定期检查 SSH 登录失败记录
• 智能封锁：自动封锁登录失败超过阈值的 IP 地址
• 易于配置：可调整失败次数阈值和检查频率
• 低资源占用：使用轻量级脚本，不影响服务器性能
• 无需修改防火墙：使用 /etc/hosts.deny 文件进行封锁，避免复杂的防火墙配置

工具组件#

• block_ssh_failures.sh - 主脚本，用于检测 SSH 登录失败并封锁 IP
• ssh-blocker.service - systemd 服务文件
• ssh-blocker.timer - systemd 定时器文件，设置每 1 分钟运行一次

安装步骤#

1
# 创建脚本目录
2
sudo mkdir -p /root/ssh_blocker
3

4
# 复制文件
5
sudo cp block_ssh_failures.sh /root/ssh_blocker/
6
sudo cp ssh-blocker.service /etc/systemd/system/
7
sudo cp ssh-blocker.timer /etc/systemd/system/

1
sudo chmod +x /root/ssh_blocker/block_ssh_failures.sh

1
sudo systemctl daemon-reload

1
sudo systemctl enable --now ssh-blocker.timer

配置调整#

管理命令#

1
sudo systemctl list-timers | grep ssh-blocker

1
sudo systemctl status ssh-blocker.service

1
sudo grep sshd /etc/hosts.deny

1
sudo /root/ssh_blocker/block_ssh_failures.sh

工作原理#

1. 日志分析：脚本通过 journalctl 获取 SSH 服务的登录失败记录
2. IP 提取：从日志中提取失败登录的 IP 地址并统计次数
3. 阈值检查：对失败次数超过阈值的 IP 进行标记
4. IP 封锁：将标记的 IP 添加到 hosts.deny 文件中
5. 定期执行：通过 systemd 定时器每 1 分钟执行一次此操作

注意事项#

• 运行权限：脚本需要以 root 用户运行
• 系统要求：系统需要启用 TCP Wrappers（Ubuntu 默认已启用）
• 定期检查：建议定期检查 hosts.deny 文件，避免误封
• 解除封锁：如需解除封锁，可编辑 /etc/hosts.deny 文件删除相应条目
• 适用环境：此工具适用于 Ubuntu 24 环境，其他 Linux 发行版可能需要适当调整

安全建议#

除了使用此工具外，还建议采取以下安全措施：

1. 使用密钥登录：禁用密码登录，使用 SSH 密钥进行认证
2. 更改默认端口：将 SSH 端口从默认的 22 更改为其他端口
3. 使用防火墙：配置防火墙，只允许特定 IP 访问 SSH 端口
4. 定期更新：保持系统和 SSH 服务的更新
5. 监控日志：定期查看 SSH 登录日志，及时发现异常情况

总结#

SSH 登录失败自动封锁工具是一款简单但有效的安全工具，能够帮助服务器管理员自动检测并封锁恶意 IP 地址，减少 SSH 暴力破解攻击的风险。通过定期执行检测脚本，我们可以及时发现并阻止可疑的登录尝试，提高服务器的安全性。

该工具使用了轻量级的实现方式，不需要复杂的配置，适合各种规模的服务器环境。同时，它也提供了灵活的配置选项，可以根据实际需求调整检测参数和执行频率。

希望这款工具能够帮助您更好地保护服务器安全，减少安全隐患。

完整源码#

1
#!/bin/sh
2

3
# 检查是否以root用户运行
4
if [ "`id -u`" -ne 0 ]; then
5
    echo "请以root用户运行此脚本"
6
    exit 1
7
fi
8

9
# 配置参数
10
THRESHOLD=5  # 失败次数阈值
11
TIME_RANGE="1 day ago"  # 检查时间范围
12
HOSTS_DENY="/etc/hosts.deny"  # hosts.deny文件路径
13

14
# 获取SSH失败登录的IP地址及其次数
15
FAILED_IPS=`journalctl _SYSTEMD_UNIT=ssh.service --grep "Failed password" --since "$TIME_RANGE" | \
16
    grep -Eo 'from ([0-9]{1,3}\.){3}[0-9]{1,3}' | \
17
    awk '{print $2}' | \
18
    sort | \
19
    uniq -c | \
20
    sort -nr`
21

22
# 遍历每个IP及其失败次数
23
echo "$FAILED_IPS" | while read COUNT IP; do
24
    # 跳过本地回环地址
25
    if echo "$IP" | grep -q "^127\."; then
26
        continue
27
    fi
28

29
    # 检查是否超过阈值
30
    if [ "$COUNT" -ge "$THRESHOLD" ]; then
31
        # 检查IP是否已在hosts.deny中
32
        if ! grep -q "sshd:$IP" "$HOSTS_DENY"; then
33
            # 添加到hosts.deny
34
            echo "sshd:$IP" >> "$HOSTS_DENY"
35
            echo "已在hosts.deny中封锁IP $IP，在过去 $TIME_RANGE 内有 $COUNT 次失败登录尝试"
36
        fi
37
    fi
38
done

1
[Unit]
2
Description=SSH登录失败IP封锁服务
3
After=network.target
4

5
[Service]
6
Type=oneshot
7
ExecStart=/root/ssh_blocker/block_ssh_failures.sh
8
User=root
9

10
[Install]
11
WantedBy=multi-user.target

1
[Unit]
2
Description=定期检查SSH登录失败并封锁IP
3

4
[Timer]
5
OnCalendar=*:0/1
6
Persistent=true
7

8
[Install]
9
WantedBy=timers.target