#!/bin/bash

# 配置参数
LOG_FILE="/var/log/auth.log"  # Debian/Ubuntu的SSH日志文件路径
MAX_ATTEMPTS=5                # 允许的最大失败尝试次数
TEMP_FILE="/tmp/ssh_blacklist.tmp"  # 临时文件存储IP尝试次数
LAST_POS_FILE="/tmp/ssh_last_pos.tmp"  # 记录上次处理的日志位置

# 获取上次处理的日志位置
if [ -f "$LAST_POS_FILE" ]; then
    LAST_POS=$(cat "$LAST_POS_FILE")
else
    LAST_POS=0
fi

# 获取当前日志文件大小
CURRENT_POS=$(stat -c %s "$LOG_FILE")

# 如果日志文件没有更新，直接退出
if [ "$CURRENT_POS" -le "$LAST_POS" ]; then
    exit 0
fi

# 从上次位置开始解析日志
tail -c +$((LAST_POS + 1)) "$LOG_FILE" | while read line; do
    if echo "$line" | grep -q "Failed password"; then
        IP=$(echo "$line" | awk '{print $11}')
        if [ -n "$IP" ]; then
            ATTEMPTS=$(grep -c "$IP" "$TEMP_FILE")
            if [ "$ATTEMPTS" -ge "$MAX_ATTEMPTS" ]; then
                # 检查IP是否已在黑名单中
                if ! grep -q "$IP" /etc/hosts.deny; then
                    echo "sshd:$IP" >> /etc/hosts.deny
                    echo "IP $IP 已加入黑名单，禁止登录。"
                fi
            else
                echo "$IP" >> "$TEMP_FILE"
            fi
        fi
    fi
done

# 更新日志位置
echo "$CURRENT_POS" > "$LAST_POS_FILE"

chmod +x ssh_blacklist.sh

./ssh_blacklist.sh

# 每 5 分钟执行一次检测
*/5 * * * * /path/to/ssh_blacklist.sh