[BASH] Autoban iptables

[notfound]

Holla, tout d'abord merci pour le partage.

Code BASH :


for ip in `cat /var/log/auth.log | grep 'sshd.*Invalid'| awk {'print $10'} | sort -u `
do
     ...
done
 

Bon, si t'as un fichier de log très grand, ton for ip in `cat ...` va être super lent, car ça stock tout en RAM. De plus, le cat|grep|awk est pas très élégant.
Je te propose cette petite optimisation :

Code BASH :


while read ip; do ... ; done < <(awk '/ssh.*Failed/{print $10}' /var/log/auth.log|uniq)
 

L'unicité peut se faire via awk aussi, ce qui permet de supprimer le pipe. Mais ça fait remplir un array[] etc, donc c'est plus chiant et uniq fait très bien le taff.

Ensuite, pour éviter de te fatiguer à taper des echo à tout va, tu pourrais faire :

Code BASH :


cat << EOGAME > mail.txt
TO: ex@ex.com
From: alert@uk.server
Subject:Cron SSH ban
SSH auth tentative banned : $ip
EOGAME
 

Mais bon c'est du détail ça.

Et enfin :

Code BASH :


for ip in `tail -n $LIGNES $LOG | grep "$CHERCHE" | awk "{print \\$1}" | sort | uniq -c | sort -rn | head -20 | awk "{if (\\$1 > $TENTATIVES) print \\$2}"`
do
    ...
done
 

Cette partie, j'attend d'avoir un exemple (comme dit sur irc) pour voir ce qu'on peut faire. Mais vu d'ici, ça se simplifie grandement.
Et même remarque pour le for truc in $(cat...), et les echo

La partie iptables semble ok

Enjoy