为方便公司fans网站的站长们上传文件，网站用了pureftp。
pureftp表现确实不错，不但稳定可靠，特征丰富，而且在安全方面也很便于调控。
可是好景不长，很快就遇到了一个让人头疼的问题：因为不能限定使用FTP服务的用户的IP来源，暴力破解很快就出现了，
网站维护人员挺担心，希望尽快搞定这个问题。

 

怎么办呢？
pureftp本身的特征似乎并不好解决暴力破解问题，后来想了想，决定用swatch来搞定。

 

1. 下载： http://sourceforge.net/projects/swatch/

2. 安装：swatch 是用 PERL 写的，所以安装起来可能会有点麻烦，最顺利的情况下，解压后执行下面的命令就
         搞定了：
         perl Makefile.PL
         make
         make test
         make install
         make realclean
        如果提示有些相关 PERL 模块不存在，那么你就需要耐心地一个一个地装那些缺少的 PERL 模块了，主要是
        下面四个：Date::Calc ，Date::Parse ，File::Tail ，Time::HiRes 。

3. 配置：2个文件
 1）cat /etc/swatch.conf
    watchfor /authentication failure/
             mail address=kejian.zou\@m-time.com, subject=warning: authentication failure
             exec /root/blockip.sh '$_'
             threshold type=limit, count=60, seconds=120  # 如果在2分钟之内出现60次登录失败， 

                                                                                        # 那么发邮件通知管理员，并block 正

                                                                                        #在实施暴力破解的IP。
 2）cat /root/blockip.sh
    #!/bin/bash
    #

    hacker_ip=`echo $1 | awk '{ print $13 }' | awk -F= '{ print $2 }'`
    is_blocked=`iptables -L -n | grep $hacker_ip | wc -l`
    if [ $is_blocked -eq 0 ];then
           iptables -I INPUT -p tcp -s $hacker_ip --dport 21 -j DROP
           # logging those IPs being blocked.
           echo Hacker from $hacker_ip was blocked at $(date +'%Y-%m-%d %H:%M') \

             >> /root/blockip.log
    fi

4.运行swatch：
swatch --config-file=/etc/swatch.conf --tail-file=/var/log/messages &

 

自从用上了swatch后，暴力破解活动得到了有效的遏制，网站维护人员放心了，世界安静了下来。