应用场景：防止恶意IP尝试ssh登录

脚本说明：将密码输入错误超过四次得ip地址通过iptable防火墙访问。

分析：

首先，需要知道ssh远程访问记录在哪一个文件中  /var/log/secure
其次，模拟远程访问输错密码，查看日志文件
再次，通过日志可以看到关键信息“Failed password”表示错误密码有可能事手误引起得，所以设定几次错误为恶意试探密码，建议设置为4；还有需要将恶意试探密码主机得ip提取出来，对提取得ip地址进行统计计数
最后，需要明确怎么在脚本中通过iptables策略设置阻止恶意ip访问策略添加到哪里合适；防火墙2配置文件等。
模拟远程访问，查看日志

                发现每一次错误密码后，显示主机ip时前都有 Failed password

所以我还可以借助Failed password字段来获取 恶意访问ip。二ip在倒数第三个字段（以空格为分隔符）

awk '/Failed password/ {print $(NF-3)}' /var/log/secure

设定4次错误为恶意试探密码，并提取得ip地址进行统计计数
首先我没需要将恶意IP地址进行统计
[root@cotenos ~]# awk  '/Failed password/ {IP[$(NF-3)]++} END{for (i in IP) print i,IP[i]}' /var/log/secure

 对超过4次的错误的ip进行选取
[root@cotenos ~]# awk  '/Failed password/ {IP[$(NF-3)]++} END{for (i in IP) {if ($IP[i] >= 4)  print i,IP[i]}}' /var/log/secure

 或者

[root@cotenos ~]# awk '/Failed password/ {print $(NF-3)}' /var/log/secure | sort | uniq -c | awk '$1>=4 {print $2}'

最后将获取的ip遍历，使用firewalld-cmd命令对ip进行阻隔

总代码
#!/bin/bash
bath=/var/log/secure
 
ip=`awk '/Failed password/ {IP[$(NF-3)]++} END{for (i in IP) {if ($IP[i] >= 4) print i}}' $bath`
for i in $ip
do
        firewall-cmd --add-rich-rule="rule family=ipv4 source address=$i/32 service name=ssh dorp"
 
done