用 Fail2ban 自动封禁 SSH 暴力破解 IP

Fail2ban 适合公网 SSH 被持续扫描时自动封禁异常来源。这类主题真正跑起来并不难，难的是上线后稳定、可备份、能排错。本文按实操方式整理一套可以直接落地的流程，默认你已经会登录 Linux 服务器，并能使用 Docker Compose、systemctl 和基础防火墙命令。

核心特性 / 为什么选择 Fail2ban

• 重点目标是失败登录阈值、封禁时间、白名单，这些点决定了后续维护成本。
• 配置集中在一个项目目录里，服务、数据、备份脚本和反代规则都能按目录迁移。
• 方案尽量选择容器化或系统原生命令，避免把依赖散装到系统里，后续升级和回滚更容易。

服务器配置建议

Fail2ban 的配置选择要看使用人数、数据量和是否有重任务。入门不要只追求最低价格，至少要给系统日志、备份压缩、镜像更新和临时文件留出余量。建议系统盘 40G 起步，长期保存数据的项目单独挂载数据盘；如果服务涉及图片、视频、游戏存档或数据库，磁盘 I/O 比单纯 CPU 核心数更影响体验。

我把这套服务部署在雨云服务器 rainyun-com的云服务器上，作为 SSH 防护和轻量日志封禁节点开销很小。注册填码 2026off 领 5折。

安装步骤

1. 准备一台干净的 Ubuntu 22.04 或 Debian 12 服务器，先完成 SSH 密钥登录、防火墙和系统更新。
2. 如果是 Web 服务，把域名 A 记录解析到服务器公网 IP；如果是游戏或网络服务，确认云安全组已经放行对应端口。
3. 创建项目目录：/opt/fail2ban-ssh-protection-20260519。所有配置、数据和备份说明都放在这里，迁移时直接打包目录。
4. 写入配置文件后先在本机端口验证，再开放给外部访问。不要一边改配置一边导入大量正式数据。

运维类操作建议先在测试服务器或低风险时间窗口演练一遍。涉及 SSH、防火墙、磁盘和定时任务时，务必保留回滚路径。

配置文件

核心配置或命令模板如下，复制前先根据自己的端口、用户名、路径做替换：

[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 6h

执行命令：

sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

启动和验证

验证不要只看“容器是 running”或“命令没有报错”。更可靠的方式是访问入口、写入一条测试数据、重启服务，再确认数据仍然存在。对运维任务来说，则要看状态、日志和实际效果是否一致。

sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

如果验证失败，先按顺序检查三件事：配置文件语法、端口监听状态、日志里的第一条错误。很多问题不是服务本身坏了，而是端口被占用、域名没解析、密码写错或数据目录权限不对。

常用操作 / 使用技巧

• 查看日志或状态时先从当前项目目录执行，避免误操作到其他服务。
• 每次升级前先备份，再拉取镜像或修改配置；升级后观察日志 3 到 5 分钟。
• 密码、Token、数据库口令不要写进公开仓库，生产环境至少放在 .env 或权限更严格的配置文件里。
• 经常使用的办公 IP 可以加入 ignoreip，避免输错密码后把自己封掉。

备份 / 升级

备份要分清“可再生成”和“不可丢失”的内容。缓存、临时文件、转码文件通常可以丢；数据库、上传文件、配置文件、存档和密钥不能丢。升级前先做一次手动备份，确认备份包能解压，再进行版本更新。

sudo mkdir -p /opt/backups/fail2ban-ssh-protection
sudo cp -a /opt/fail2ban-ssh-protection-20260519 /opt/backups/fail2ban-ssh-protection/snapshot-$(date +%F) 2>/dev/null || true

建议至少保留最近 7 天每日备份和最近 3 个月每月备份。重要数据再同步到另一台服务器或本地硬盘，单机备份挡不住磁盘损坏和误删。