你有没有想过,你的服务器其实一直处在“无声的战争”中?
我买了几台服务器,一直有听说fail2ban,我就抱着学习的心态安装了一遍。
最近,我在测试环境乱点时,打开了 fail2ban 的禁止日志界面,看到这样一组数据:
封锁的IP总数:947
连接失败总数:25,260
当前封锁IP数:50
当前连接失败次数:1
那一刻,我整个人都愣住了,我的破服务器也能被攻击,攻击我干嘛?
原本我以为只有攻击线上运营的或者一些中大厂的环境才会被攻击。
留个笔记以后配置服务器,必选!
🔍 一、什么是 fail2ban?
fail2ban 是一个开源的入侵防御工具,它通过监控系统日志(如 SSH、Apache、Nginx 等),自动检测异常登录行为,一旦发现某个 IP 多次尝试失败连接,就会自动将其加入防火墙黑名单,实现“封禁”。
简单说:
👉 它是你的服务器“保安”,专门抓那些频繁尝试破解密码的“黑客”。
📊 二、这些数字意味着什么?
我们来看一下图中的关键数据:
这意味着:
在过去一段时间里,有 超过900个不同的IP地址 曾试图暴力破解我的服务器。
它们总共尝试了 2.5万多次登录失败,平均每个IP尝试约27次。
目前仍有 50个IP在被封锁状态,说明攻击仍在持续。
即使现在看起来“安静”,但随时可能再次发起攻击。
更令人震惊的是:这些攻击几乎全部来自SSH端口(22),目标就是获取服务器控制权。
还有根据站点简单防CC
💥 三、谁在攻击?为什么?
这些IP大多来自全球各地,包括:
东南亚某些数据中心
俄罗斯、美国、印度等国家的公共IP
一些已知的“僵尸网络”或“代理池”
他们为什么要攻击我的服务器?
原因很简单:
✅ 自动化扫描 + 暴力破解
很多攻击者使用脚本自动扫描互联网上的开放SSH端口,然后用常见密码(如 root:password, admin:123456)进行暴力尝试。
✅ 寻找“弱口令”服务器
如果你的服务器密码太简单,或者从未修改默认账户,那么恭喜你——你就是他们的“猎物”。
✅ 用于挖矿、DDoS、勒索软件
一旦攻破服务器,黑客会安装挖矿程序、作为跳板机发动DDoS攻击,甚至加密文件勒索赎金。
🛡️ 四、我该如何应对的?
我就装了几天 fail2ban,但这次我才真正意识到它的价值。以下是我在事件后的几点防护措施:
我主要是通过宝塔面板安装,那个可视化简单,下面不考虑面板来操作
✅ 1. 启用 fail2ban 并配置规则
# 在Debian/Ubuntu系统中,可以使用以下命令安装Fail2ban
sudo apt update
sudo apt install fail2ban
# 安装完成后,启动Fail2ban服务并设置为开机自启动
sudo systemctl enable fail2ban
sudo systemctl start fail2ban并确保对 SSH、FTP、Web 等服务开启监控。
✅ 2. 修改 SSH 端口(从默认22改为其他)
sudo nano /etc/ssh/sshd_config
# 修改 Port 为例如 2222然后重启服务:
sudo systemctl restart ssh✅ 3. 使用密钥认证,禁用密码登录
生成 SSH 密钥对,并上传公钥到服务器,彻底关闭密码登录。
✅ 4. 定期查看 fail2ban 日志
sudo fail2ban-client statussudo fail2ban-client status sshd也可以直接看日志:
sudo tail -f /var/log/fail2ban.log✅ 5. 配置防火墙(UFW 或 iptables)
只允许必要的端口访问,比如:
sudo ufw allow 2222/tcpsudo ufw allow 80/tcpsudo ufw allow 443/tcpsudo ufw enable🧠 五、反思:我们是否真的安全?
很多人以为:“我的服务器没做什么大事,应该没人攻击。”
但现实是:只要你的服务器在线,就有被攻击的风险。
无论你是个人博客、小型网站,还是企业应用,只要暴露在公网,就可能是攻击者的“目标”。
🚨 没有绝对的安全,只有不断加固的防御。
我都是用宝塔面板,很推荐使用,上面截图也是用宝塔面板。