[shell 작동] 화일 변화를 감지 하고 있다가 반응할수는 없을까
얼마전부터 messages 화일에 이상한 접속을 하려는 곳이 생겻는데
Jan 23 14:13:25 ns1 sshd(pam_unix)[3544]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=211.185.55.126
이런것 들이죠 그래서 요거좀 막아보려고 쉘 프로그램 만들어 봤습니다.
내용은 messages화일의 맨 마지막 1줄 읽어서 authentication failure 문구가
발견되면 아이피만 골라서 etc/hosts.deny 화일에 "ALL : 아이피" 등록 했다가 5분정도 후에 해제 하려구요
일단 ./ipbloc.sh & 이리 했는데
[1] 9859 프롬프트에 이렇게 나오고 시간이 지나면
[1]+ Done ./ipbloc.sh 이 나오는데 그리고는끝이거든요
제 생각에는 화일 변경된것이 한번은 감지가 되고 Done 이리 나오면서 프로그램이 종료 되는것이 아닌가 생각됩니다.
messages 화일을 계속 감지하고 있다가 messages 화일이 tail.log 보다 최신거면 한줄읽어서 분석할수는 없는건지요
말도 안되는 황당한 질문인가요? 안된다면 이걸 돌리는 방법이 있을까요?
혼자 만들어 봣는데 오류가 있거나 혹시 더 좋은 방법아시는분 알려주시면 감사 합니다.
아래는 여기저기 보고 책보고 만들어 본 겁니다.
#!/bin/bash
#file : ipbloc.sh
dat=`date +%Y-%m-%d-%H-%M-%S`
if [ "/var/log/messages" -nt "tail.log" ] #message file 이 더 최신거면
then
r_tail=`tail -1 messages` # message file 맨 마지막줄
if [ "${r_tail/authentication failure/}" != "${r_tail}" ]
then
r_log=${r_tail#*rhost=} # 211.2.3.1 ruser=root
r_host=${r_log%* *} # 211.2.3.1
echo "$r_log $dat" >> tail.log # tail.log 기록하고 차단
#echo "ALL : $r_host " > /etc/hosts.deny # 아이피 차단
fi
fi
tail.log 기록하는건 같은 기록이 여러번이면 iptables 에서 차단할생각 입니
다
조언좀 부탁드립니다.
스크립트에 loop이 없으니 한번 실행한 후 종료하는 것은 정상적인 동작
스크립트에 loop이 없으니 한번 실행한 후 종료하는 것은 정상적인 동작입니다.
for나 while을 찾아서 추가해주시면 좀 더 원하는 동작에 가까워질 겁니다.
(아마 sleep도 필요해지시지 않을까 싶네요)
감사합니다
결국 그 방법 외에는 없나보네요
해결했습니다. 작동이 잘 될는지는 모르는데...
건강과 행운이 함께 하시고 가내에도 두루 평안하세요
댓글 달기