Linux VPS服务器防暴力破解：安全设置与监控指南

网络攻击手段不断升级的今天，Linux VPS服务器常因暴露在公网，成为暴力破解的重点目标。攻击者通过批量尝试用户名和密码组合，一旦得逞便可能窃取数据、篡改系统，对业务和隐私造成严重威胁。掌握防暴力破解的安全设置与监控方法，是每个VPS用户的必修课。

基础安全设置：从源头降低破解风险

1. 更改SSH默认端口

SSH（Secure Shell，安全外壳协议）是远程管理Linux服务器的核心工具，但其默认开放的22端口早已被攻击者标记为“重点扫描目标”。修改端口能大幅降低被“自动化扫描工具”锁定的概率。具体操作：用vim或nano打开配置文件`/etc/ssh/sshd_config`，找到`Port 22`行，将22替换为1024-65535间的非常用端口（如12345）；保存后执行`systemctl restart sshd`重启服务。注意：修改后需用新端口连接服务器，建议先本地验证再关闭旧端口。

2. 启用密钥认证替代密码登录

密码再复杂也有被撞库的风险，密钥认证则通过“公钥+私钥”的非对称加密，从根本上杜绝密码泄露问题。操作步骤：在本地终端执行`ssh-keygen -t rsa -b 4096`生成密钥对（一路回车默认路径），生成的`~/.ssh/id_rsa`（私钥）需妥善保管，`~/.ssh/id_rsa.pub`（公钥）复制到服务器的`~/.ssh/authorized_keys`文件中。完成后，修改`sshd_config`禁用密码登录（设置`PasswordAuthentication no`），重启SSH服务即可。

3. 用fail2ban限制登录尝试次数

即使做了前两步，仍可能遭遇针对新端口的暴力破解。这时可借助`fail2ban`（故障禁止）工具，它通过监控日志文件，对短时间内多次登录失败的IP自动封禁。安装配置步骤：
- Debian/Ubuntu系统：`apt install fail2ban`；CentOS/RHEL：`yum install fail2ban`。
- 编辑`/etc/fail2ban/jail.local`，添加规则：

[sshd]
enabled = true
port = ssh  # 若修改过端口需替换为实际端口号
filter = sshd
logpath = /var/log/auth.log  # Debian/Ubuntu路径，CentOS为/var/log/secure
maxretry = 3  # 允许3次失败尝试
findtime = 600  # 600秒内超过maxretry次即封禁
bantime = 3600  # 封禁1小时

- 重启服务：`systemctl restart fail2ban`。

日常监控：及时发现异常攻击

1. 定期查看认证日志

Linux系统会记录所有登录尝试，重点关注`/var/log/auth.log`（Debian/Ubuntu）或`/var/log/secure`（CentOS）。例如执行`tail -n 50 /var/log/auth.log`查看最近50条记录，若发现同一IP短时间内多次出现`Failed password`，基本可判定为暴力破解尝试。

2. 用logwatch生成安全报告

手动翻日志效率低，`logwatch`工具能自动汇总关键信息，生成易读的安全报告。安装后通过`logwatch --service sshd --range yesterday`命令，可查看昨日SSH登录的详细统计，包括失败次数、来源IP等，快速定位可疑行为。

这些安全设置和监控措施看似简单，却能构建起多层防护网。值得注意的是，选择BGP多线的VPS服务器能进一步提升防护效果——稳定的网络链路可减少因网络波动导致的误判，同时多线路冗余也能避免单一IP被封禁后影响正常访问。无论是个人开发者还是中小企业，做好VPS的防暴力破解工作，既是对数据安全的基本保障，也是维持业务稳定运行的关键一步。毕竟，服务器安全无小事，提前防范远胜于事后补救。