月度归档:2015年08月

shell逻辑判断-三目运算符

在C语言中三目运算符的组成是

<表达式1>?<表达式2>:<表达式3>;

等同于C语言中的if语句

if (表达式1)
          表达式2;
else
          表达式3;

而在bash shell 中也有类似的方式

echo $((2>1?2:1))

但是這里 $(()) 只能进行数值大小的判断
使用command进行三目运算应该这样使用

command1 && command2 || command3

在shell中,很多人理解为下面的if语句

if command1;then
        command2
else
        command3
fi

这是错误的,原因是没有深刻理解&& 和 ||
下面的命令很好的指出错误的原因

#date && echo "It's sunny today" || echo "the weather is terrible"
Thu Aug 20 11:09:35 EDT 2015
It's sunny today
#date && "It's sunny today"  || echo "the weather is terrible"
Thu Aug 20 11:10:45 EDT 2015
-bash: It's sunny today: command not found
the weather is terrible

||会判断前一条命令的状态还回值,如果为false,就执行后面的语句
在这里 “It’s sunny today” 命令是错误的,于是后面 echo “the weather is terrible” 就执行了
深入研究
使用{}解决||判断问题

 
command1 && { command2 ;echo -n ;} || commadn3

如果command1正确 ||就只会接受来自echo -n的状态还回值,所以不会执行后面的command3
如果command1失败 &&直接跳过,||判断command1失败,执行command3
三目运算符的主要目的是达到简写的功能,避免不必要的简单if语句
在日常使用中 1 && 2 || 3 确实很实用
下面举几个列子

判断文件是否存在,如果存在就继续执行脚本,不存在就退出报错

使用if判断文件存在,然后else部分写exit。~~but,

if [ -e $path ];then
      ??
else
      exit 1
fi

如果文件存在如何进行?
这个时候只能反向思路,不存在怎么样,但是这样就和判断逻辑相反

if [ ! -e $path ];then
      exit 1
fi

但是这样就简便了很多

[ -e $path ] || exit 1

需要有顺序的连续执行多条命令,并且判断命令正确,如果命令错误就执行 “echo error”

在这里如果使用if就需要嵌套多层,十分麻烦,也浪费时间

if command1;then
      if command2;then
            if command3;then
                   command4
            else
                   echo "error"
            fi
      else
            echo "error"
      fi
else
      echo "error"
fi

而使用&&就简化了很多

commad1 && command2 && command3 && command4 || echo "error"

博主很喜欢使用三目运算符进行逻辑的判断
下面是举例

#在很多脚本中需要版判系统是否存在安装包或者命令
[ -e /usr/sbin/iptables ] || { echo "iptables-services not installed" && exit 1 ;}
#博主编写比较两个文件夹差异的脚本中,如果参数是两个存在的文件进行的判断
[ -f "$1" ] && [ -f "$2" ] && { cmp $1 $2 >/dev/null 2>&1 && echo 'The two files are the same' && exit 0|| { echo -ne $red 'The two files are not same'\n && exit 0 ;} ;}

ssh安全措施

以前买过许多vps,国内,国外的都有。无论idc供应商防火墙做的多好,策略有多复杂,总是会有很多连续的IP段不停的扫描你的主机服务端口,特别是Linux系统的默认远程管理端口22
最开始博主也是放置不管,并没有起多大疑心
但是麻烦就来了。不到一周的时间 ssh系统日志达到了10G,当时我一看磁盘空间就懵了,刚买的主机,什么服务都没放,怎么磁盘就增加了這么多
细细检查下才发现是/var/log/secure 这个记录ssh登陆情况的日志占用了空间
再检查内容,发现全是记录的ssh登陆失败的日志,恐怖的是某几个IP的验证密码的次数达到了十几万次
吸取教训,删除了secure日志。但是治标不治本,决定对ssh安全花些心思

No1 修改ssh端口号

更换ssh是一个很实用的方法,直接略去了百分之80以上的恶意扫描。操作也很简单,缺点是剩下百分之20还是会侦探到远程端口,没有根治

#vi /etc/ssh/sshd_config
Port $port

No2 针对固定IP开发端口

这种方法是很多企业使用的方式,效果好,安全,能根治恶意扫描,操作也相对简单
在防火墙中添加规则

iptables -t filter -I INPUT -s $IP -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

问题是如果没有固定的IP需要搭建VPN跳板

No3 编写脚本自动拒绝恶意攻击

博主最开始就是从这角度出发的,最开始在网上找了许多shell脚本,但是都不符合博主本意。偶然看到前辈一篇博客,备受启发,于是觉得编写一个适合自己的

#!/bin/bash
#function	    DROP all failed IP if  more than $Number(default is 99)
#author         weskiller 	2014-10-31
#drop this script on /root/ext_ssh_deny/ext_ssh_deny.sh
#and add crond like this
#crontab -e
#*/30 * * * * /root/ext_ssh_deny/ext_ssh_deny.sh
#service crond start

#Check whether the iptables installed
[ -e /usr/sbin/iptables ] || { echo "iptables-services not installed" && exit 1 ;}

#set limit number
Number=

#set  IP of regular expressions
Regular_Expression_Ip='(\<(22[0-3]|2[01][0-9]|1[3-9][0-9]|12[0-689]|1[0-1][0-9]|[1-9]?[0-9]|[1-9]))(\.(25[0-5]|2[0-4][0-9]|[0-1]?[0-9]?[0-9])){2}(\.(25[0-4]|2[0-4][0-9]|1[0-9]{2}|[1-9][0-9]|[1-9])\>)'

#set Centos ssh log file
File=/root/ext_ssh_deny/secure

#Extract failed information
FIND() {
	grep -Eo "((failure|Failed)(.*)$Regular_Expression_Ip|$Regular_Expression_Ip(.*)failed)" /var/log/secure > $File
}

#Find the attack IP
ATTACK_LIST() {
	grep -Eo "$Regular_Expression_Ip" $File |sort|uniq -c|awk '($1>'${Number:=99}') {printf $2"\n"}'|sort > /root/ext_ssh_deny/Attack_Ip
	
}

#Add iptables rule 
DENY_ATTACK_IP() {
	for IP in $1
	do
	Re_Ip=`echo $IP |sed  's|\.|\\\.|g'`
	TIMES=`grep "$Re_Ip" /root/ext_ssh_deny/secure |wc -l`
	/sbin/iptables -vnL|grep "$Re_Ip" >/dev/null 2>&1 || /sbin/iptables -I INPUT -s $IP -m state --state NEW,RELATED,ESTABLISHED -p tcp --dport 22 -j DROP && echo "`date +%Y%m%d-%H:%M:%S`    IP:$IP  TIMES=$TIMES" >> /root/ext_ssh_deny/deny.log
	done
}

#Extract iptables deny
IPTABLES_DENY_IP() {
 	/sbin/iptables -vnL|grep -Eo "DROP.*$Regular_Expression_Ip" |awk '{print $NF}'|sort > /root/ext_ssh_deny/Iptables_Deny_Ip
}

#the IP from the script log
LOG_IP() {
	grep -Eo "$Regular_Expression_Ip" /root/ext_ssh_deny/deny.log |sort > /root/ext_ssh_deny/Log_Ip 
}

#clear iptables rules and script log
CLEAR() {
	cat /dev/null > /root/ext_ssh_deny/deny.log
	sed -i '/\/32/'d /etc/sysconfig/iptables
	/sbin/service iptables restart >/dev/null 2>&1
}

#initialization
RESET(){
	CLEAR
	FIND
	ATTACK_LIST
	DENY_ATTACK_IP "`cat /root/ext_ssh_deny/Attack_Ip`"
	/sbin/service iptables save >/dev/null 2>&1
	exit 0
}

#order to refresh data
PREPARE() {
	IPTABLES_DENY_IP
	LOG_IP
}

#just add new Attack_Ip in iptables
UPDATE() {
	FIND
	ATTACK_LIST
	comm -13 /root/ext_ssh_deny/Log_Ip /root/ext_ssh_deny/Attack_Ip > /root/ext_ssh_deny/Update_Ip 
	[ -s /root/ext_ssh_deny/Update_Ip ] || exit 0
	DENY_ATTACK_IP "`cat /root/ext_ssh_deny/Update_Ip`"
	/sbin/service iptables save >/dev/null 2>&1
	exit 0
}

#check script health in order to Released  ip if a long time ago  
CHECK_HEALTH() {
	[ -f /var/log/secure ] || return 1
	[ -s /var/log/secure ] || return 1
	[ -f /root/ext_ssh_deny/deny.log ] || return 2
	[ -s /root/ext_ssh_deny/deny.log ] || return 2
	/usr/sbin/iptables -vnL|grep -Eo "DROP.*$Regular_Expression_Ip"  >/dev/null 2>&1 || return 3
	PREPARE
	[ -z "`comm -13 /root/ext_ssh_deny/Iptables_Deny_Ip /root/ext_ssh_deny/Log_Ip`" ] && return 0 || return 3
}

#start
MAIN() {
CHECK_HEALTH
case $? in
	1)
	CLEAR && return 1
	;;
	2|3)
	RESET 
	;;
	0)
	UPDATE
	;;
esac
}

MAIN

如上,脚本的功能是自动找出ssh登陆次数大于限定次数的ip,并加入防火墙中拒绝登陆,而且做到自动更新的功能
缺点是适应性不强,根据个人定制,无法满足所有人

No4 取消密码登陆,使用密钥验证

优点是操作简单,实用性很好。缺点是密钥文件需要本地存储,无法使用交互式命令如scp
生成密码文件

#ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):  
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
40:86:b1:06:62:0b:ea:76:ce:2f:28:76:2c:55:23:b7 root@localhost.localdomain
The key's randomart image is:
+--[ RSA 2048]----+
|o.. .oo          |
|+....+           |
|..  o .          |
|.  o + .         |
| o .+ o S        |
|. +. E           |
|  +o             |
|.+ +.            |
|o o ..           |
+-----------------+
#cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
#chmod 400 ~/.ssh/authorized_keys
#vi /etc/ssh/sshd_config
PasswordAuthentication no
#service sshd restart

No5 使用vnc远程管理

这种方式直接弃用了ssh,十分彻底的屏蔽了恶意主机的扫描和攻击,随意设定的端口也为攻击带来了难度,而且使用的真实的用户命令接口。但是问题也很明显。依旧使用口令,远程管理,流量开销大,对系统资源占用也比ssh要多,导致经常性的网络中断。建议管理内网的服务器使用

第一篇

第一次接触电脑是在小学三年级,学校开设了计算机课程,使用的是win95
第一次玩网游是在初中一年级,被同学邀去网吧
第一次真正了解计算机是在高中
第一次搭建站点就是现在

每天都是新的开始