Ubuntu 22.04 VPS服务器SSH暴力破解防护设置

SSH暴力破解是Ubuntu 22.04 VPS服务器面临的常见安全威胁——攻击者通过反复尝试用户名和密码组合，试图突破远程登录防线。对于需要长期稳定运行的VPS服务器来说，做好SSH暴力破解防护不仅能避免数据泄露风险，更能保障业务连续性。本文将从工具配置到服务优化，手把手教你构建防护体系。

1. 背景介绍

SSH（Secure Shell）是远程管理VPS服务器的核心协议，它通过加密通信保障数据传输安全。但正因为SSH是管理员的“远程钥匙”，也成了攻击者的重点目标。想象一下，你的VPS服务器每天接收成百上千次SSH登录尝试，其中不乏恶意破解行为——这些攻击可能来自扫描器、黑客工具，甚至是自动化攻击脚本。如果放任不管，一旦密码被撞库成功，服务器数据、业务系统都可能面临严重威胁。

2. 防护措施

2.1 安装Fail2Ban：服务器的“智能门卫”

Fail2Ban是一款基于日志监控的入侵防御工具，相当于给VPS服务器装了个“智能门卫”。它会持续扫描/var/log/auth.log等系统日志，当发现某个IP在短时间内多次登录失败，就会自动封禁该IP，阻止进一步攻击。
在Ubuntu 22.04中安装Fail2Ban操作很简单：

sudo apt update
sudo apt install fail2ban

2.2 配置Fail2Ban：设定防护规则

安装完成后需要定制防护规则。首先复制默认配置文件避免覆盖系统原文件：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

用nano编辑器打开配置文件：

sudo nano /etc/fail2ban/jail.local

找到[sshd]部分（对应SSH服务的防护配置），修改为：

[sshd]
enabled = true    # 启用SSH防护
port = ssh        # 监控SSH端口
filter = sshd     # 使用SSH专用过滤器
logpath = /var/log/auth.log  # 监控认证日志
maxretry = 3      # 允许最大失败次数（3次）
bantime = 3600    # 封禁时间（3600秒=1小时）

这里的maxretry设为3是平衡安全与体验的常用值——普通用户输错3次密码概率极低，攻击者难以短时间内猜中；bantime设1小时既能威慑攻击者，也避免误封合法用户。保存退出后重启服务生效：

sudo systemctl restart fail2ban

2.3 优化SSH服务：从源头降低风险

除了被动防御，还能通过调整SSH服务本身降低被攻击概率。用以下命令打开SSH配置文件：

sudo nano /etc/ssh/sshd_config

重点修改两个关键参数：
- 禁止root直接登录：将`PermitRootLogin yes`改为`PermitRootLogin no`。root用户拥有最高权限，禁止直接登录后，攻击者即使破解普通用户密码，也需通过sudo提升权限，为管理员争取响应时间。
- 更改默认端口：将`Port 22`改为非默认端口（如2222）。默认端口22是攻击者的重点扫描目标，修改后能大幅减少无效连接。

修改完成后保存，重启SSH服务使配置生效：

sudo systemctl restart sshd

3. 验证防护效果

配置完成后需要验证是否生效。可以用另一台设备模拟攻击：用错误密码尝试登录SSH服务，当失败次数达到3次时，再次连接会提示“连接被拒绝”。此时查看Fail2Ban日志（`sudo tail -f /var/log/fail2ban.log`），能看到类似`[sshd] Ban 192.168.1.100`的记录，说明该IP已被成功封禁。

4. 持续保障服务器安全

做好SSH暴力破解防护是VPS服务器安全运维的基础课。除了本文提到的Fail2Ban和服务配置，建议搭配使用密钥登录（SSH Key）替代密码认证，定期更新系统补丁，并每月检查一次/var/log/auth.log和Fail2Ban封禁记录，及时发现异常登录行为。只有多维度构建防护体系，才能让VPS服务器更安心地承载业务运行。