2026年1月23日 (五) 10:29 Dai

2026-01-23T10:29:35Z

←上一版本		2026年1月23日 (五) 03:29的版本
第162行：		第162行：
	至此，UFW防火墙和Fail2ban都设置完成。		至此，UFW防火墙和Fail2ban都设置完成。
	[[index.php?title=Category:500 常见应用指南 — Application Guides]]		[[index.php?title=Category:500 常见应用指南 — Application Guides]]
			[[Category:500 常见应用指南 — Application Guides]]

2026年1月23日 (五) 10:28 Dai

2026-01-23T10:28:32Z

←上一版本		2026年1月23日 (五) 03:28的版本
第160行：		第160行：
	=== 总结 ===		=== 总结 ===

	至此~~，你的服务器安全架构已搭建~~完毕：		至此，UFW防火墙和Fail2ban都设置完成。
			[[index.php?title=Category:500 常见应用指南 — Application Guides]]
	~~# '''UFW''' 负责“关门”，只开放必要的业务端口。~~
	~~# '''Fail2Ban''' 负责“站岗”，利用 Debian 12 原生的 systemd 日志接口，精准拦截暴力破解者。~~

	~~这种配置方案无需安装额外的 syslog 服务，既节省了系统资源，又符合新版 Linux 的技术规范，是最推荐的配置方式~~。
	[[Category:500 常见应用指南 — Application Guides]]

Dai：创建页面，内容为“在上一篇教程中，我们成功将服务器重装为了 '''Debian 12''' 系统。 Debian 12 (Bookworm) 相比旧版本做了一个重要的底层变更：默认不再安装 `rsyslog`，这意味着 `/var/log/auth.log` 这种传统的文本日志文件在默认状态下是不存在的。这导致很多网上的旧版 Fail2Ban 教程在 Debian 12 上会失效（常见报错为 `Failed…”`


2026-01-23T10:27:02Z
创建页面，内容为“在上一篇教程中，我们成功将服务器重装为了 '''Debian 12''' 系统。  Debian 12 (Bookworm) 相比旧版本做了一个重要的底层变更：默认不再安装 <code>rsyslog</code>，这意味着 <code>/var/log/auth.log</code> 这种传统的文本日志文件在默认状态下是不存在的。  这导致很多网上的旧版 Fail2Ban 教程在 Debian 12 上会失效（常见报错为 <code>Failed…”
新页面
在[[如何重装搬瓦工服务器的系统|上一篇教程]]中，我们成功将服务器重装为了 '''Debian 12''' 系统。



Debian 12 (Bookworm) 相比旧版本做了一个重要的底层变更：默认不再安装 <code>rsyslog</code>，这意味着 <code>/var/log/auth.log</code> 这种传统的文本日志文件在默认状态下是不存在的。



这导致很多网上的旧版 Fail2Ban 教程在 Debian 12 上会失效（常见报错为 <code>Failed to access socket path</code> 或无法封禁 IP）。



本篇教程将基于 Debian 12 的新特性，带大家部署 '''UFW 防火墙'''，并配置'''使用 Systemd 驱动的 Fail2Ban'''，为你的 VPS 提供严谨、有效的安全防护。



----



=== 第一步：基础环境更新 ===



安全的第一步永远是保持软件最新。连接 SSH 后，执行以下命令更新软件包列表：



<syntaxhighlight lang="bash">

apt update && apt upgrade -y

</syntaxhighlight>

[[File:Image.1.png|center|thumb|950x950px]]

----



=== 第二步：配置 UFW 防火墙 ===



'''UFW (Uncomplicated Firewall)''' 是管理 iptables 的前端工具，配置简单且不易出错。



==== 1. 安装 UFW ====



<syntaxhighlight lang="bash">apt install ufw -y</syntaxhighlight>

[[File:Image.2.png|center|thumb|950x950px]]



==== 2. 放行 SSH 端口（核心步骤） ====



'''注意'''：在启动防火墙之前，'''必须'''显式放行 SSH 端口，否则会直接切断你当前的连接。



* '''默认端口'''：如果你没改过端口，执行：

<syntaxhighlight lang="bash">

ufw allow 22/tcp

</syntaxhighlight>



* '''自定义端口'''：如果你修改了 SSH 端口（例如 29999），请务必改为：

<syntaxhighlight lang="bash">

ufw allow 29999/tcp

</syntaxhighlight>

[[File:Image.3.png|center|thumb|950x950px]]



==== 3. 放行 Web 服务（可选） ====



如果你后续计划部署博客或网站，建议提前放行 HTTP 和 HTTPS 端口：



<syntaxhighlight lang="bash">

ufw allow 80/tcp

ufw allow 443/tcp

</syntaxhighlight>



==== 4. 启用防火墙 ====



确认规则添加无误后，启用 UFW：



<syntaxhighlight lang="bash">

ufw enable

</syntaxhighlight>



系统会提示可能会中断 SSH 连接，输入 <code>y</code> 并回车确认。

[[File:Image.4.png|center|thumb|900x900px]]



----



=== 第三步：部署 Fail2Ban (适配 Debian 12) ===



'''Fail2Ban''' 通过监控日志来发现恶意行为（如频繁输错密码），并自动调用防火墙封禁来源 IP。



==== 1. 安装 Fail2Ban ====



<syntaxhighlight lang="bash">

apt install fail2ban -y

</syntaxhighlight>

[[File:Image.5.png|center|thumb|900x900px]]



==== 2. 创建自定义配置文件 ====



为了保持配置的整洁和持久性（防止软件升级覆盖配置），我们不要直接修改 <code>/etc/fail2ban/jail.conf</code>，而是在 <code>jail.d</code> 目录下新建一个高优先级的配置文件。



使用 vim 或 nano 编辑新文件：



<syntaxhighlight lang="bash">

nano /etc/fail2ban/jail.d/defaults-debian.conf

</syntaxhighlight>

[[File:Image.56.png|center|thumb|900x900px]]



==== 3. 写入核心配置（Systemd 模式） ====



'''这是最关键的一步。'''



针对 Debian 12 默认没有 <code>auth.log</code> 的情况，我们需要指定 <code>backend = systemd</code>，让 Fail2Ban 直接从系统日志接口读取数据。



请将以下内容复制并粘贴到文件中：



<syntaxhighlight lang="ini">

[DEFAULT]

# 忽略的 IP 白名单（将 1.1.1.1 替换为你自己的常用 IP，或者删除该行）

ignoreip = 127.0.0.1/8 ::1



# 封禁时长：1小时 (-1 为永久封禁)

bantime = 1h



# 判定时间窗口：10分钟内输错 N 次即封禁

findtime = 10m



# 最大尝试次数

maxretry = 5



# [重要] 指定封禁动作使用 ufw

banaction = ufw



[sshd]

enabled = true

# [核心] Debian 12 必须指定 backend 为 systemd 才能读取日志

backend = systemd

port    = ssh

</syntaxhighlight>



*按 <code>Ctrl + O</code> 保存，按 <code>Ctrl + X</code> 退出编辑器。*

[[File:Image.6.png|center|thumb|900x900px]]



==== 4. 启动并验证服务 ====



配置完成后，重启 Fail2Ban 服务以应用更改：



<syntaxhighlight lang="bash">

systemctl restart fail2ban

systemctl enable fail2ban

</syntaxhighlight>



'''验证服务状态'''：



输入以下命令查看 SSH 监控模块的运行情况：



<syntaxhighlight lang="bash">

fail2ban-client status sshd

</syntaxhighlight>



'''正确的结果'''应该类似下方输出，且不会出现 <code>ERROR</code> 或 <code>Failed to access socket</code> 的报错：



<syntaxhighlight lang="text">

Status for the jail: sshd

|- Filter

|  |- Currently failed: 0

|  |- Total failed:     0

|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd

`- Actions

   |- Currently banned: 0

   |- Total banned:     0

   `- Banned IP list:

</syntaxhighlight>



如果看到 <code>Journal matches</code> 或类似的日志源提示，说明 Fail2Ban 已经成功挂载到 systemd 日志流上，开始正常工作了。

[[File:Image.7.png|center|thumb|900x900px]]



----



=== 总结 ===



至此，你的服务器安全架构已搭建完毕：



# '''UFW''' 负责“关门”，只开放必要的业务端口。

# '''Fail2Ban''' 负责“站岗”，利用 Debian 12 原生的 systemd 日志接口，精准拦截暴力破解者。



这种配置方案无需安装额外的 syslog 服务，既节省了系统资源，又符合新版 Linux 的技术规范，是最推荐的配置方式。

[[Category:500 常见应用指南 — Application Guides]]

如何在搬瓦工服务器上安装ufw防火墙和Fail2ban来防止黑客暴力破解 - 版本历史

2026年1月23日 (五) 10:29 Dai

2026年1月23日 (五) 10:28 Dai