原因:
两台 VPS 的 ssh 端口一直被密码重试, us 这台已经封了 632, jp 这台两周前清过一次 sqlite3 数据,现在赞到 1008
Fail2Ban 是使用 sqlite3 来记录,数据量大后,硬盘的 I/O 会飙升,我有写过一个 app Project-33 来统计攻击并与地理位置匹配,但没有发 code,主要是没使用需求。
关联的文章:
当发现 计算机被 网络上的其它 IP 地址攻击 找谁?_22.41.46.66网络攻击-CSDN博客
< 自用文儿 > 下载 MaxMind GeoIP Databases 对攻击的 IP 做 地理分析_maxmind geoip 下载-CSDN博客
< OS 有关 > 阿里云 几个小时前 使用密钥替换 SSH 密码认证后, 发现主机正在被"攻击" 分析与应对 -CSDN博客
环境:
两台 VPS: JP、USW
操作系统:Ubuntu 24
APPs: ufw 只安装在 USW
被动修改 SSH 端口从 22->9922
1. 在东京的阿里云 jp
1) 修改配置文件
sudo sed -i 's/^Port 22$/Port 9922/' /etc/ssh/sshd_config
2)在阿里防火墙开放端口 9922,并禁止 22
3)重启计算机
sudo reboot
2. 在美国的 VPS:usw
1) 修改配置文件
sudo sed -i 's/^Port 22$/Port 9922/' /etc/ssh/sshd_config
2)在 ufw 中配置
打开 9922 端口,禁用原 22 端口
ufw allow 9922/tcp
ufw deny 22/tcp
查看 ufw,以确定修改成功
sudo ufw status verbose
3)重启计算机
sudo reboot
小结:
fail2ban 不需要修改,因为它的识别方法:filter=sshd
