第一思路,用iptables把外網ssh的包DROP掉;
第二思路,用tcpwrapper把sshd的allow寫死;
第三思路,修改sshd_config,只監聽內網請求。
由於一些說不清楚的原因,iptables的辦法沒法用;而tcpwrapper佔用CPU資源較多;所以最後決定用第三種辦法。
公司伺服器比較多,而且根據隨機登入查看的結果,sshd_config內容居然還太不一樣~~手工幹了一天,改了兩組伺服器後,終於下定決心要整個全自動指令碼出來幹活…… 目前的辦法是這樣的:
cat ssh.exp
複製代碼 代碼如下:
#!/usr/bin/expect -f
log_file exp.log
set timeout -1
set ipaddr [lrange $argv 0 0]
for {set i 1} {$i<4} {incr i} {
spawn ssh $ipaddr
expect {
"*password:" break
"to host" {sleep 2};
sleep 3
}
}
send "123456r"
expect "]#"
send "cd /etc/sshr"
send "cp sshd_config sshd_config.`date +%F-%T`.bakr"
send "sed -i /^ListenAddress.*$/d sshd_configr"
send "echo ListenAddress `/sbin/ifconfig eth0|awk '/inet /{print $2}'|awk -F: '{print $2}'` >> sshd_configr"
send "service sshd restartr"
send "exitr"
interact
cat do.sh
複製代碼 代碼如下:
#!/bin/sh
for ip in `cat ip.lst`
do
./ssh.exp $ip > /dev/null 2>&1
done
cat exp.log | grep host | awk '{print $5}'|sort|uniq >> errorip
echo "以下IP無法修改";cat errorip
