今天在B站刷到一个视频,大意就是黑客没有变少,只是变得隐蔽了,于是我查了一下我的服务器的访问日志
不是哥么,你当着我的面爆破密码啊
今天查了一下lastb,发现居然有人正在尝试暴力破解我服务器的ssh密码,而且还是两个人,但好在我用的是秘钥登录,密码是登不进的
但不管怎样,这是十分危险的,在询问DeepSeek之后它让我装一个fail2ban
fail2ban的安装
sudo apt update
sudo apt install fail2ban#注意,如果没有rsyslog的话就用不了fail2ban,所以要安装rsyslog
sudo apt install rsyslog
安装完成之后,我们进行本地配置设置
sudo nano /etc/fail2ban/jail.local
在里面输入这些
[DEFAULT]
# 白名单设置(1.2.3.4替换为你的实际IP)
ignoreip = 127.0.0.1/8 ::1 1.2.3.4[sshd]
enabled = true
# 替换为实际ssh端口
port = ssh
logpath = /var/log/auth.log
# 最大尝试次数
maxretry = 3
# 封禁时间(秒)
bantime = 3600
# 检测时间窗口(秒)
findtime = 600
然后保存,并重启fail2ban
sudo systemctl restart fail2ban
查看它的运行状况
sudo systemctl status fail2ban
查看日志
sudo tail -f /var/log/fail2ban.log
管理封禁IP
sudo fail2ban-client status sshd
手动解封
sudo fail2ban-client unban IP地址
好,那么安装就基本完成了
参考了这篇文章:https://ecouu.com/archives/39/