VPS 上手一条龙

更新 apt 包

# 更新包索引，确保包管理器拥有最新的软件包列表
$ apt update
# 升级所有已安装的软件包到最新版本，-y 选项自动回答“是”以确认安装
$ apt upgrade -y
# 类似于 apt upgrade，但除了升级包，还会处理依赖关系的更改和可能需要移除或安装其他包
$ apt dist-upgrade -y
# 类似于 apt dist-upgrade，确保系统上的所有包都更新到最新版本，并处理任何可能的包冲突和依赖问题
$ apt full-upgrade -y
# 自动删除不再需要的包和依赖项，以释放磁盘空间
$ apt autoremove -y

更换软件源

bash <(curl -sSL https://gitee.com/SuperManito/LinuxMirrors/raw/main/ChangeMirrors.sh)

开启 BBR

$ echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
$ echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
$ sysctl -p
$ sysctl net.ipv4.tcp_available_congestion_control
$ lsmod | grep bbr

创建用户

# `-m`：自动创建用户的主目录 `-s /bin/bash`：设置用户的默认 Shell 为 bash
$ sudo useradd -m -s /bin/bash <newuser>
# 设置密码
$ sudo passwd <newuser>
# 授予sudo权限
$ sudo usermod -aG sudo <newuser>
# 确保主目录的权限和所有权正确
$ sudo chown -R <newuser>:<newuser> /home/<newuser>
$ sudo chmod 750 /home/<newuser>

禁 Ping

编辑 sysctl 配置文件：

打开 /etc/sysctl.conf 文件

$ sudo vim /etc/sysctl.conf

添加或修改以下行以禁止 ICMP echo 请求

net.ipv4.icmp_echo_ignore_all = 1

应用更改：

运行以下命令使更改立即生效：

$ sudo sysctl -p

配置密钥登录 ssh

在本地执行

> ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
# 指定密钥生成位置
Enter file in which to save the key (C:\Users\<user>/.ssh/id_ed25519): 
# 输入密钥密码
Enter passphrase (empty for no passphrase):
# 再输一遍
Enter same passphrase again:

到服务器上切换到需要登录的用户上（非 root）

# 切换用户
$ su - venom
# 创建公钥文件夹
$ mkdir ~/.ssh
# 授权
$ chmod 700 ~/.ssh
# 将本地的公钥内容写到authorized_keys中
$ vim ~/.ssh/authorized_keys
# 授权
$ chmod 600 .ssh/authorized_keys

修改 sshd 配置文件 /etc/ssh/sshd_config

# 日志
SyslogFacility AUTH
LogLevel VERBOSE
# 禁止root登录
PermitRootLogin no
# 允许公钥登录
PubkeyAuthentication yes
# 禁止密码登录
PasswordAuthentication no
# 禁止空密码
PermitEmptyPasswords no

日志说明：

SyslogFacility 指定日志的类别

• AUTH: 认证相关消息（默认值）
• AUTHPRIV: 私有认证消息，仅对授权用户可见
• DAEMON: 系统守护进程使用
• USER: 用户级消息
• LOCAL0-LOCAL7: 本地使用，通常用于自定义应用程序的日志

LogLevel 指定日志级别

• QUIET：最低日志级别，仅记录严重错误和非常关键的信息
• FATAL：只记录导致 SSH 守护进程崩溃的严重错误
• ERROR：记录错误信息，包括所有影响功能的错误，但不包括警告和正常操作的信息
• INFO：记录一般信息，包括连接成功、认证失败、配置问题等信息
• VERBOSE：记录详细信息，包括客户端连接、断开连接、键交换等更详细的操作信息
• DEBUG：记录调试信息，提供非常详细的调试信息，用于开发和调试
• DEBUG1
• DEBUG2
• DEBUG3：这些级别提供越来越详细的调试信息，DEBUG1 最少，DEBUG3 最详细

重启 sshd 服务，是配置生效

$ sudo systemctl restart sshd

ssh 日志

查看日志

$ journalctl -u ssh

或者

$ cat /var/log/auth.log |more

查看成功的连接

$ journalctl -u ssh |grep "Accepted"

或者

$ cat /var/log/auth.log |grep "Accepted"

恶意攻击日志

error: beginning MaxStartups throttling

表示 sshd 已经达到了 MaxStartups 配置设置的最大并发未认证连接数。为了防止可能的拒绝服务（DoS）攻击，sshd 开始丢弃新的连接请求

drop connection #10 from [192.240.123.137]:38158 on [167.30.81.59]:22 past MaxStartups

表示 sshd 丢弃了一个来自 IP 地址 192.240.123.137 端口 38158 的连接请求，因为它超过了 MaxStartups 限制。服务器的 IP 地址和端口分别是 167.30.81.59 和 22

Connection from 144.202.112.137 port 40228 on 167.30.81.59 port 22 rdomain ""

表示 sshd 接受了一个来自 IP 地址 144.202.112.137 端口 40228 的新连接请求，服务器的 IP 地址和端口分别是 167.30.81.59 和 22。rdomain “” 表示连接没有使用路由域（routing domain）

error: kex_exchange_identification: Connection closed by remote host

表示在密钥交换（key exchange）阶段发生错误，连接被远程主机关闭。kex_exchange_identification 是 SSH 连接的初始阶段之一，负责双方之间交换加密密钥

Invalid user developer from 198.98.53.42 port 44318

表示 SSH 守护进程收到了一个来自 IP 地址 198.98.53.42 端口 44318 的连接请求，尝试使用用户名 developer 登录，但系统中没有这个用户

pam_unix(sshd:auth): check pass; user unknown

pam_unix 模块在尝试验证用户 developer 的密码时，发现这个用户是未知的（即不存在）

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.98.53.42

PAM 认证失败，无法验证用户 developer 的身份。logname、uid、euid 等字段提供了与失败相关的更多详细信息

Failed password for invalid user developer from 198.98.53.42 port 44318 ssh2

SSH 守护进程记录了密码验证失败的尝试。由于用户 developer 是无效的，所以验证失败

Received disconnect from 198.98.53.42 port 44318:11: Bye Bye [preauth]

在认证完成之前（preauth 阶段），SSH 守护进程收到了来自客户端的断开连接请求。客户端主动断开连接

Disconnected from invalid user developer 198.98.53.42 port 44318 [preauth]

SSH 守护进程确认已断开来自 198.98.53.42 端口 44318 的无效用户 developer 的连接

Fail2Ban

安装

$ apt install fail2ban

查看 fail2ban 状态

$ systemctl status fail2ban.service

启动 fail2ban

$ systemctl start fail2ban.service

设置开启启动

$ systemctl enable fail2ban.service

Fail2Ban 客户端

查看 fail2ban 版本

$ fail2ban-client -V

查看监控目标

$ fail2ban-client status

Status
|- Number of jail:      1
`- Jail list:   sshd

查看监控目标的运行情况

$ fail2ban-client status sshd

查看 ==所有监控目标== 被封的 ip

$ fail2ban-client banned

解封某个监控目标被禁的 ip

$ fail2ban-client set <jail> unbanip <ip>

手动封禁某个监控目标的 ip

$ fail2ban-client set <jail> banip <ip>

Fail2Ban 启动异常

× fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; preset: enabled)
     Active: failed (Result: exit-code) since Thu 2024-06-27 04:11:07 PDT; 2s ago
   Duration: 261ms
       Docs: man:fail2ban(1)
    Process: 41856 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
   Main PID: 41856 (code=exited, status=255/EXCEPTION)
        CPU: 247ms

systemd[1]: Started fail2ban.service - Fail2Ban Service.
fail2ban-server[41856]: 2024-06-27 04:11:07,381 fail2ban.configreader   [41856]: WARNING 'allowipv6' not defined in 'Definition'. Using default one: 'auto'
fail2ban-server[41856]: 2024-06-27 04:11:07,406 fail2ban                [41856]: ERROR   Failed during configuration: Have not found any log file for sshd jail
fail2ban-server[41856]: 2024-06-27 04:11:07,410 fail2ban                [41856]: ERROR   Async configuration of server failed
systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/EXCEPTION
systemd[1]: fail2ban.service: Failed with result 'exit-code'.

到 /etc/fail2ban 下创建文件 jail.local

[DEFAULT]
# Debian 12 has no log files, just journalctl
backend = systemd

# 禁用时间：m-分钟，h-小时，d-天，默认秒
bantime  = 31d
# 最大失败次数
maxretry = 5
# 尝试登录的单位时间
findtime  = 1h

[sshd]
enabled = true

然后可以尝试启动

$ systemctl start fail2ban.service

如果正常启动则 ok

如果出现下面的异常：

2023-08-15 13:07:06,212 fail2ban.server         [32501]: INFO    Starting Fail2ban v1.0.2
2023-08-15 13:07:06,213 fail2ban.observer       [32501]: INFO    Observer start...
2023-08-15 13:07:06,219 fail2ban.database       [32501]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2023-08-15 13:07:06,219 fail2ban.jail           [32501]: INFO    Creating new jail 'sshd'
2023-08-15 13:07:06,424 fail2ban.jail           [32501]: ERROR   Backend 'systemd' failed to initialize due to No module named 'systemd'
... absolutely HUGE stack trace here ...
2023-08-15 13:07:06,428 fail2ban                [32501]: ERROR   NOK: ("Failed to initialize any backend for Jail 'sshd'",)
2023-08-15 13:07:06,429 fail2ban.server         [32501]: INFO    Shutdown in progress...
2023-08-15 13:07:06,429 fail2ban.observer       [32501]: INFO    Observer stop ... try to end queue 5 seconds
2023-08-15 13:07:06,450 fail2ban.observer       [32501]: INFO    Observer stopped, 0 events remaining.
2023-08-15 13:07:06,490 fail2ban.server         [32501]: INFO    Stopping all jails
2023-08-15 13:07:06,490 fail2ban.database       [32501]: INFO    Connection to database closed.
2023-08-15 13:07:06,691 fail2ban.server         [32501]: INFO    Exiting Fail2ban

则还需要安装 python3-systemd 包

$ apt install python3-systemd

拒绝被封 IP 的所有请求

默认情况下，Fail2Ban 只会封禁特定服务（如 SSH）上的恶意 IP 地址，而不会阻止这些 IP 地址对服务器上的其他服务或端口的访问。但对于这些恶意 IP 地址，我希望它们无法访问服务器上的任何服务。 要实现这一点，可以通过自定义 iptables 规则来拒绝被 Fail2Ban 封禁的 IP 地址的所有请求。

1. 新建一个自定义的 iptables 规则文件：

   创建一个新的文件 /etc/fail2ban/action.d/iptables-blockall.conf，内容如下：

   [Definition]
   actionstart = <iptables> -N f2b-<name>
                 <iptables> -A f2b-<name> -j <returntype>
                 <iptables> -I <chain> -j f2b-<name>
   
   actionstop = <iptables> -D <chain> -j f2b-<name>
                <iptables> -X f2b-<name>
   
   actioncheck = <iptables> -n -L <chain> | grep -q 'f2b-<name>[ \t]'
   
   actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>
   
   actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>
   
   [Init]
   name = default
   chain = INPUT
   blocktype = REJECT
   returntype = RETURN
   iptables = iptables

   这个配置文件定义了一个新的 iptables 链 f2b-<name>，并在 INPUT 链中插入规则以拒绝所有来自被封禁 IP 地址的流量。

2. 编辑 Fail2Ban 配置文件：

   打开或创建 /etc/fail2ban/jail.local 文件，添加刚刚创建的 action：

   [sshd]
   enabled = true
   banaction = iptables-blockall

3. 重启 Fail2Ban 服务：

   $ systemctl restart fail2ban

4. 查看 iptables 拒绝请求的 ip：

   $ iptables -L f2b-sshd -v -n
   Chain f2b-sshd (1 references)
    pkts bytes target    prot opt in     out     source               destination         
     16   928 REJECT     all  --  *      *       14.103.114.90        0.0.0.0/0            reject-with icmp-port-unreachable
     50  3144 REJECT     all  --  *      *       103.172.236.15       0.0.0.0/0            reject-with icmp-port-unreachable
     49  3080 REJECT     all  --  *      *       124.18.243.125       0.0.0.0/0            reject-with icmp-port-unreachable
     49  3396 REJECT     all  --  *      *       138.68.166.31        0.0.0.0/0            reject-with icmp-port-unreachable
     52  3236 REJECT     all  --  *      *       195.154.178.238      0.0.0.0/0            reject-with icmp-port-unreachable
     54  3412 REJECT     all  --  *      *       211.253.9.49         0.0.0.0/0            reject-with icmp-port-unreachable
     55  3364 REJECT     all  --  *      *       130.180.39.134       0.0.0.0/0            reject-with icmp-port-unreachable
     34  2148 REJECT     all  --  *      *       193.151.143.30       0.0.0.0/0            reject-with icmp-port-unreachable
   960K  205M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

   这将显示 f2b-sshd 链中的所有规则，即被封禁的 IP 地址及其拒绝状态。