Bash-совет: анализ неудачных SSH-логинов и бан «горячих» IP 🔒🐚

Хотите быстро узнать, какие IP вызывают максимум неудачных попыток входа в SSH, и оперативно заблокировать самых настырных? Ниже скрипт:

#!/usr/bin/env bash
# ssh_fail_analyzer.sh
# Анализ неудачных SSH-попыток и вывод TOP-10 IP

LOG_FILE="/var/log/auth.log"       # путь к логам (для CentOS: /var/log/secure)
TOPN=10                            # сколько IP показывать

echo "Топ $TOPN IP с неудачными SSH-входами:"
grep -E "Failed password for" "$LOG_FILE" \
  | grep -oP '(?<=from )[\d\.]+' \
  | sort \
  | uniq -c \
  | sort -rn \
  | head -n "$TOPN"

Как это работает

1. grep -E "Failed password for"
Ищем все строки с неудачными попытками.
2. grep -oP '(?<=from )\[\d.]+'
С помощью PCRE-регулярки достаём только IP-адреса после слова "from".
3. sort | uniq -c | sort -rn
Сортируем, считаем вхождения и выводим в порядке убывания.
4. head -n "\$TOPN"
Ограничиваем результат топ-10.


🛠 Можно добавить в crontab ежедневный запуск и автоматическую отправку отчёта на почту или сразу бан «горячих» IP через iptables:

# в crontab: каждый день в 00:10
10 0 * * * /path/to/ssh_fail_analyzer.sh | mail -s "SSH Fail Report" admin@example.com

Или сразу блокировать подозрительные IP, если они превысили порог:

THRESHOLD=50
for ip in $(grep -E "Failed password for" "$LOG_FILE" \
              | grep -oP '(?<=from )[\d\.]+' \
              | sort | uniq -c \
              | awk -v t="$THRESHOLD" '$1 > t {print $2}'); do
  iptables -I INPUT -s "$ip" -j DROP
  echo "$(date): Заблокирован $ip за превышение $THRESHOLD неудачных попыток" >> /var/log/ssh_ban.log
done

📲 Мы в MAX

👉@bash_srv

🔍 Мониторинг сервисов Linux и автоматический перезапуск 🛠️

Иногда сервисы на сервере «внезапно» падают, а вы об этом узнаёте лишь по жалобам пользователей. Предлагаю простой Bash-скрипт, который:

1. Проверяет статус списка сервисов
2. При необходимости перезапускает их
3. Логирует все действия

#!/usr/bin/env bash
# автор: https://news.1rj.ru/str/bash_srv
# Список сервисов для мониторинга
services=(nginx sshd mysqld)

# Файл логов
logfile="/var/log/service_monitor.log"

for svc in "${services[@]}"; do
  status=$(systemctl is-active "$svc")
  
  if [[ "$status" != "active" ]]; then
    echo "$(date '+%F %T') ❗️ Сервис $svc статус: $status. Перезапускаем..." >> "$logfile"
    systemctl restart "$svc"
    
    if [[ $? -eq 0 ]]; then
      echo "$(date '+%F %T') ✔️ Сервис $svc успешно перезапущен" >> "$logfile"
    else
      echo "$(date '+%F %T') ❌ Не удалось перезапустить $svc" >> "$logfile"
    fi
  fi
done

🗓️ Как запустить по расписанию
Добавьте в crontab (например, каждый 5-й минут):

*/5 * * * * /path/to/service_monitor.sh

🔎 Пара совета по регулярным выражениям
Для анализа логов удобно собирать все строки с ошибками:

grep -Ei "(error|fail|critical|panic)" /var/log/syslog

-E включает расширенные регэкспы
-i — нечувствительность к регистру
Настройте свой набор ключевых слов для поиска 🎯

📲 Мы в MAX

👉@bash_srv

🔥 Бэкап базы данных MySQL с автоматической ротацией 🔄

Если у тебя есть сервер с MySQL/MariaDB, автоматический бэкап с ротацией — must have для спокойной жизни 😌

Вот простой скрипт, который:

1. Делает дамп всех баз
2. Сохраняет в архив с датой
3. Удаляет архивы старше N дней

#!/bin/bash
# автор: https://news.1rj.ru/str/bash_srv

# Папка для бэкапов
BACKUP_DIR="/opt/backups/mysql"
# Кол-во дней хранения
RETENTION_DAYS=7
# Дата для имени файла
DATE=$(date +'%Y-%m-%d_%H-%M')

# Учетные данные
DB_USER="root"
DB_PASS="mypassword"

mkdir -p "$BACKUP_DIR"

# Делаем дамп
mysqldump -u"$DB_USER" -p"$DB_PASS" --all-databases | gzip > "$BACKUP_DIR/mysql_backup_$DATE.sql.gz"

# Удаляем старые бэкапы
find "$BACKUP_DIR" -type f -name "*.gz" -mtime +$RETENTION_DAYS -delete

echo "✅ Бэкап MySQL завершён: $DATE"

🛠 Рекомендуется повесить в крон, например, на каждый день в 3:00:

0 3 * * * /path/to/backup_mysql.sh

👀 Теперь бэкапы всегда под контролем, а лишние файлы не засоряют диск.

📲 Мы в MAX

👉@bash_srv

🧹 Bash совет дня: удаляем пустые директории рекурсивно 🧹

Когда на сервере скапливаются лишние пустые папки — это не только мусор, но и потенциальная головная боль при навигации и поиске. Вот простой способ зачистить их:

#!/bin/bash

# Путь, в котором нужно очистить пустые папки
TARGET_DIR="/var/www/html"

# Удаляем все пустые директории, включая вложенные
find "$TARGET_DIR" -type d -empty -delete

echo "✅ Все пустые директории удалены из $TARGET_DIR"

🔍 Как это работает:
• find ищет все папки (-type d), которые пусты (-empty) и удаляет их (-delete).
• Работает рекурсивно, удаляя даже вложенные пустые директории.

📅 Можно запускать из cron раз в неделю, например:

0 3 * * 0 /opt/noscripts/clean_empty_dirs.sh

👌 Удобно, когда на сервере регулярно создаются временные папки, которые потом остаются без содержимого.

📲 Мы в MAX

👉@bash_srv

🔥 Bash: выводим самые «тяжёлые» директории в системе 🧱

Когда место на диске заканчивается, надо быстро найти, кто его ест. Вот однострочник, который покажет 10 самых тяжёлых директорий в /:

du -ahx / | sort -rh | head -n 10

📌 Пояснение:

• du -ahx / - оценивает размер всех файлов и директорий, игнорируя другие файловые системы (важно, если есть монтирования);
• sort -rh - сортирует по размеру, от большего к меньшему;
• head -n 10 - берёт топ-10.

💡 Хочешь только директории без файлов? Замени -ahx на -h --max-depth=1:

du -h --max-depth=1 / | sort -rh

🎯 Быстро, просто, эффективно!

📲 Мы в MAX

👉@bash_srv

🧠 Регулярки на практике: как вытащить IP-адреса из логов

Когда нужно быстро достать все IP-адреса из логов — тебе на помощь приходит grep + регулярные выражения 💪

Пример:

grep -oE '\b([0-9]{1,3}\.){3}[0-9]{1,3}\b' /var/log/nginx/access.log

🔍 Что делает:

-o — выводит только совпадения, без строки целиком
-E — расширенные регулярки
\b([0-9]{1,3}\.){3}[0-9]{1,3}\b — паттерн для IPv4

📌 Пример вывода:

192.168.0.1
10.0.0.55
172.16.100.7

🛡️ Хочешь избавиться от дубликатов?

grep -oE '\b([0-9]{1,3}\.){3}[0-9]{1,3}\b' /var/log/nginx/access.log | sort -u

📁 Подходит для Apache, Nginx, sshd и других логов, где есть IP.

📲 Мы в MAX

👉@bash_srv

🔍 Поиск текста во множестве файлов — быстро и точно!

Если нужно найти, где в проекте встречается определённая строка (например, DB_PASSWORD), не лезь в каждый файл руками!
Используй мощную связку grep:

grep -rnw '/путь/к/папке' -e 'DB_PASSWORD'

📌 Пояснение:

* -r — рекурсивный поиск по подкаталогам.
* -n — показать номер строки.
* -w — искать точное слово (не подстроку).
* -e — указывает, что дальше идёт выражение для поиска.

💡 Хочешь исключить определённые директории, например .git?

grep -rnw --exclude-dir={.git,node_modules} '/путь/к/папке' -e 'DB_PASSWORD'

Незаменимо при отладке конфигов и аудите секрета в коде! 😉

📲 Мы в MAX

👉@bash_srv

🔐 Проверка пароля на сложность 🧪

Когда нужно быстро проверить, достаточно ли сложный пароль (длина, буквы, цифры, спецсимволы) — используйте вот такой bash-однострочник:

read -s -p "Введите пароль: " pass; echo; [[ ${#pass} -ge 8 && "$pass" =~ [A-Z] && "$pass" =~ [a-z] && "$pass" =~ [0-9] && "$pass" =~ [^a-zA-Z0-9] ]] && echo "✅ Надёжный пароль" || echo "❌ Слабый пароль"

📋 Проверка включает:

- минимум 8 символов
- заглавные буквы
- строчные буквы
- цифры
- спецсимволы

🛡 Удобно использовать в скриптах или при создании новых пользователей вручную.

👀 Если хотите использовать это в скрипте без отображения ввода — read -s уже всё делает за вас.

📲 Мы в MAX

👉@bash_srv

🚀 Подборка полезных IT каналов в Max


Системное администрирование, DevOps 📌

https://max.ru/i_odmin Все для системного администратора
https://max.ru/bash_srv Bash Советы
https://max.ru/sysadminof Книги для админов, полезные материалы
https://max.ru/i_odmin_book Библиотека Системного Администратора
https://max.ru/i_devops DevOps: Пишем о Docker, Kubernetes и др.

1C разработка 📌
https://max.ru/odin1c_rus Cтатьи, курсы, советы, шаблоны кода 1С

Программирование C++📌
https://max.ru/cpp_lib Библиотека C/C++ разработчика

Программирование Python 📌
https://max.ru/python_of Python академия.
https://max.ru/BookPython Библиотека Python разработчика

Java разработка 📌
https://max.ru/bookjava Библиотека Java разработчика

GitHub Сообщество 📌
https://max.ru/githublib Интересное из GitHub

Базы данных (Data Base) 📌
https://max.ru/database_info Все про базы данных

Фронтенд разработка 📌
https://max.ru/frontend_1 Подборки для frontend разработчиков

Библиотеки 📌
https://max.ru/programmist_of Книги по программированию
https://max.ru/proglb Библиотека программиста
https://max.ru/bfbook Книги для программистов

Программирование 📌
https://max.ru/bookflow Лекции, видеоуроки, доклады с IT конференций
https://max.ru/itmozg Программисты, дизайнеры, новости из мира IT
https://max.ru/php_lib Библиотека PHP программиста 👨🏼‍💻👩‍💻

Шутки программистов 📌
https://max.ru/itumor Шутки программистов

Защита, взлом, безопасность 📌
https://max.ru/thehaking Канал о кибербезопасности
https://max.ru/xakkep_1 Хакер Free

Книги, статьи для дизайнеров 📌
https://max.ru/odesigners Статьи, книги для дизайнеров

Математика 📌
https://max.ru/Pomatematike Канал по математике
https://max.ru/phismat_1 Обучающие видео, книги по Физике и Математике

Вакансии 📌
https://max.ru/progjob Вакансии в IT

Мир технологий 📌
https://max.ru/mir_teh Канал для любознательных


Бонус 📌
https://max.ru/piterspb_78 Свежие новости Санкт-Петербурга
https://max.ru/mockva_life Свежие новости Москвы

🔐 Проверяем, у кого есть root-доступ через sudo

Иногда нужно быстро выяснить, какие пользователи могут выполнять команды от имени root через sudo. Вот простой способ это сделать:

getent group sudo | cut -d: -f4 | tr ',' '\n' | sort

📋 Что делает скрипт:

* getent group sudo - вытаскивает строку группы sudo;
* cut -d: -f4 - берёт список пользователей;
* tr ',' '\n' - превращает список в столбик;
* sort — сортирует результат.

💡 Работает в Debian/Ubuntu - для других систем группу sudo нужно заменить на wheel, например:

getent group wheel | cut -d: -f4 | tr ',' '\n' | sort

🔥 Быстрый аудит - особенно полезно при подозрении на несанкционированный доступ.

📲 Мы в MAX

👉@bash_srv

🔄 Как узнать, какой процесс держит порт в Linux?

Часто бывает, что нужный порт уже занят, и надо быстро найти, кто его "захватил". Используем lsof и ss.

📌 Вариант 1 — через lsof:

lsof -i :<порт>

🔹 Пример:

lsof -i :80

📌 Вариант 2 — через ss:

ss -tuln | grep :<порт>

🔹 Пример:

ss -tuln | grep :443

🧠 А чтобы сразу получить PID:

fuser <порт>/tcp

🔹 Пример:

fuser 22/tcp

🔥 Идеально подходит, чтобы выяснить, что мешает стартовать nginx, apache, sshd и т.д.

📲 Мы в MAX

👉@bash_srv

🧠 Проверка, запущен ли процесс

Иногда нужно быстро проверить, работает ли нужный процесс — например, nginx, postgres или любой другой. Вот удобная bash-функция:

check_proc() {
  local PROC_NAME="$1"
  if pgrep -x "$PROC_NAME" > /dev/null; then
    echo "✅ Процесс '$PROC_NAME' запущен"
  else
    echo "❌ Процесс '$PROC_NAME' не найден"
  fi
}

📌 Как использовать:

check_proc nginx
check_proc sshd

Добавь это в свой ~/.bashrc или ~/.bash_profile, чтобы всегда иметь под рукой 🔧

💡 Работает для процессов с точным именем. Хочешь более гибкий поиск — используй pgrep "$PROC_NAME" без -x.

📲 Мы в MAX

👉@bash_srv

💥 Автоматическая блокировка IP при большом количестве запросов 🛡️👮‍♂️

Если на сервере замечена подозрительная активность (например, слишком много запросов от одного IP), можно автоматически блокировать таких «шумных» клиентов с помощью iptables и awk:

#!/bin/bash
# автор: https://news.1rj.ru/str/bash_srv

# Лимит запросов за минуту
LIMIT=100
# Лог файл nginx или apache
LOG_FILE="/var/log/nginx/access.log"

# Найдём IP, превысившие лимит
awk '{print $1}' "$LOG_FILE" | sort | uniq -c | sort -nr | awk -v limit="$LIMIT" '$1 > limit {print $2}' | while read ip; do
  # Проверим, не заблокирован ли уже
  if ! iptables -L INPUT -v -n | grep -q "$ip"; then
    iptables -A INPUT -s "$ip" -j DROP
    echo "$(date): Заблокирован IP $ip" >> /var/log/ip_block.log
  fi
done

📌 Что делает скрипт:

- Анализирует access.log
- Находит IP с количеством запросов > LIMIT
- Блокирует их через iptables

🧠 Советы:

- Запускай раз в 5 минут через cron
- Убедись, что iptables доступен и ты не блокируешь свой IP

📲 Мы в MAX

👉@bash_srv