首先在服务器上建立白名单
比如连接是
http://www.simonzhang.net/whitelist.txt
可以访问的ip地址,一行一个
部分zabbix检查python代码如下。
login_status = 0 import urllib2 get_whitelist = urllib2.urlopen("http://www.simonzhang.net/whitelist.txt").read() _whitelist = get_whitelist[:-1].split('\n') get_last_list = os.popen("/usr/bin/last -10|head -10|awk ' ''{print $3}'").readlines() for login_ip in get_last_list: if login_ip[:-1] not in _whitelist: login_status = 1 return login_status
如果有在白名单外的IP登陆则告警。因为是内网每5秒检查一下,白名单很小,所以不考虑访问频率问题。
学习学习,研究研究,呵呵