1

2

3

yum  install  denyhosts --enablerepo=epel

chkconfig denyhosts on

/etc/init .d /denyhosts  start

1

PasswordAuthentication no

1

PermitRootLogin no

1

2

/sbin/iptables  -A INPUT -p tcp --dport 22 -m state --state NEW -m recent -- set  --name  ssh  --rsource

/sbin/iptables  -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 2 --name  ssh  --rsource -j ACCEPT

1

2

3

4

5

6

7

8

9

10

11

iptables -A INPUT -p icmp --icmp- type  8 -m length --length 78 -j LOG --log-prefix  "SSHOPEN: "

#记录日志，前缀SSHOPEN:

iptables -A INPUT -p icmp --icmp- type  8 -m length --length 78 -m recent -- set  --name sshopen --rsource -j ACCEPT

#linux默认ping包一般为56字节，加上IP头20字节，ICMP头部8字节，共84字节。我们这里指定78字节，回头用特定大小的ping包来解锁。

iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

#符合sshopen的IP才会放行22端口

ping  -s 50 host  #Linux下解锁

ping  -l 50 host  #Windows下解锁

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

#!/bin/bash

# UPPERCASE space-separated country codes to ACCEPT

ALLOW_COUNTRIES= "CN"

if  [ $ # -ne 1 ]; then

   echo  "Usage:  `basename $0` <ip>"  1>&2

   exit  0  # return true in case of config issue

fi

COUNTRY=` /usr/bin/geoiplookup  $1 |  awk  -F  ": "  '{ print $2 }'  |  awk  -F  ","  '{ print $1 }'  |  head  -n 1`

[[ $COUNTRY =  "IP Address not found"  || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE= "ALLOW"  || RESPONSE= "DENY"

if  [ $RESPONSE =  "ALLOW"  ] then

   exit  0

else

   logger  "$RESPONSE sshd connection from $1 ($COUNTRY)"

   exit  1

fi

1

2

3

4

chmod  775  /usr/bin/sshfilter .sh

echo  "sshd: ALL"  >> /etc/hosts .deny

echo  "sshd: 10.0.0.0/8"  >> /etc/hosts .allow

echo  "sshd: ALL: aclexec /usr/bin/sshfilter.sh %a"  >> /etc/hosts .allow

1

2

echo  "export TMOUT=1800"  > /etc/profile .d /timeout .sh

source  /etc/profile .d /timeout .sh

1

2

ClientAliveInterval 60

ClientAliveCountMax 30