案例:最近新弄了一個項目,為了確定項目的安全。自己就做了一個zabbix檢查ssh登入ip的東西,這裡給大家分享下
步驟:
自定義zabbix檢查ssh登入ip的key
cat /etc/zabbix/zabbix_agentd.d/sanguo_check_ssh.conf
UserParameter=sanguo.check.ssh, who | wc -l #這裡的作用是檢查ssh登入了幾個終端
重新開機zabbix_agentd
寫一個檢查ssh登入ip的腳本
在zabbix上建立一個模闆
建立應用程式,application 建立監控項item
自定義key
cat sanguo_check_ssh.conf
UserParameter=sanguo.check.ssh, who | wc -l
這裡的主要作用是定義監控的時間範圍
<a href="http://s3.51cto.com/wyfs02/M00/7F/8B/wKiom1ch1WyBB1TZAACjjWKRPmw523.png" target="_blank"></a>
建立trigger
這裡的主要作用是檢查ssh的登入終端數量,如果不為0 就觸發報警
<a href="http://s3.51cto.com/wyfs02/M02/7F/8B/wKiom1ch1Z-QlTzGAABi7RdVy2c004.png" target="_blank"></a>
建立actions
當ssh登入終端在特定的時間不為0 的時候就觸發腳本,踢掉登入的ssh并把ip加入防火牆
這裡執行腳本要把zabbix加入sudo權限。zabbix客戶配置檔案開啟對遠端指令的支援EnableRemoteCommands=1
<a href="http://s5.51cto.com/wyfs02/M00/7F/8B/wKiom1ch1bfBvulTAAC8QcdjiXo753.png" target="_blank"></a>
這裡就大功告成了
這裡我把模闆上傳上來
<code> </code><code>檢查</code><code>ssh</code><code>登入的腳本如下</code>
<code> </code><code>#!/bin/bash</code>
<code> </code><code>ip=`w | </code><code>awk</code> <code>'/使用者/{print $3}'</code><code>`</code>
<code> </code><code>w | </code><code>awk</code> <code>'/使用者/{print $2}'</code> <code>| </code><code>xargs</code> <code>-i pkill -</code><code>kill</code> <code>-t {}</code>
<code> </code><code>for</code> <code>IP </code><code>in</code> <code>$ip</code>
<code> </code><code>do</code>
<code> </code><code>if</code> <code>[ $IP == </code><code>"ip"</code> <code>];</code><code>then</code>
<code> </code><code>echo</code> <code>"attention:The invasion from $IP of office"</code> <code>| mail -s </code><code>"attention,please check"</code> <code>[email protected]</code>
<code> </code><code>else</code>
<code> </code><code>iptables -I INPUT 1 -s $IP -j DROP </code>
<code> </code><code>echo</code> <code>"attention:The invasion from $IP of outside"</code> <code>| mail -s </code><code>"attention,please check"</code> <code>[email protected]</code>
<code> </code><code>fi</code>
<code> </code><code>done</code>
本文轉自 shouhou2581314 51CTO部落格,原文連結:http://blog.51cto.com/thedream/1768720,如需轉載請自行聯系原作者
![unit 1 - redhat Enterprise 8.0 Linux 指令行使用技巧[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)