1. 直接输入 `su -` 并回车，然后输入root 用户的密码,登录成功后，命令行提示符会显示 `#`

临时解决：export PATH=$PATH:/sbin/

永久解决：切换到root目录，编辑 .bashrc 文件，在最后一行添加：export PATH=$PATH:/usr/sbin 。保存后，执行：source ~/.bashrc 。然后重新查看path：echo $PATH ，多了/usr/sbin即可

deb https://mirrors.aliyun.com/debian/ trixie main contrib non-free non-free-firmware deb-src https://mirrors.aliyun.com/debian/ trixie main contrib non-free non-free-firmware deb https://mirrors.aliyun.com/debian-security/ trixie-security main contrib non-free non-free-firmware deb-src https://mirrors.aliyun.com/debian-security/ trixie-security main contrib non-free non-free-firmware deb https://mirrors.aliyun.com/debian/ trixie-updates main contrib non-free non-free-firmware deb-src https://mirrors.aliyun.com/debian/ trixie-updates main contrib non-free non-free-firmware deb https://mirrors.aliyun.com/debian/ trixie-backports main contrib non-free non-free-firmware deb-src https://mirrors.aliyun.com/debian/ trixie-backports main contrib non-free non-free-firmware

# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug enp0s3 iface enp0s3 inet static address 192.168.31.100/24 gateway 192.168.31.1 dns-nameservers 223.5.5.5 218.85.152.99 #下面是dhcp #allow-hotplug enp0s3 #iface enp0s3 inet dhcp

在 Windows 上使用 PuTTY 通过 SSH 密钥登录 Debian（或其他 Linux）服务器，需要完成以下步骤： 生成 SSH 密钥对（使用 PuTTYgen） 安装 PuTTY 套件后，在开始菜单中找到 PuTTYgen 并打开 点击 Generate。 推荐选择 Ed25519（如果版本支持）或 RSA（4096 位）： 在 "Parameters" 区域选择 Type of key to generate → Ed25519 或 RSA 如果选 RSA，将 "Number of bits" 改为 4096 移动鼠标生成随机性。 设置密钥注释和密码（可选但推荐） Key comment：填写你的用户名或用途（如 user@debian） Key passphrase：设置一个强密码（每次使用私钥时需输入，增强安全） 保存密钥 Save private key → 保存为 .ppk 文件（例如 mykey.ppk） 不要关闭 PuTTYgen，下一步要用公钥 将公钥上传到 Debian 服务器 在 PuTTYgen 窗口中，顶部显示的 Public key for pasting into OpenSSH authorized_keys file 就是公钥内容。 1. 复制公钥 全选并复制该文本（以 ssh-ed25519 AAAA... 或 ssh-rsa AAAA... 开头） mkdir -p ~/.ssh chmod 700 ~/.ssh echo "粘贴你刚才复制的公钥" >> ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys 配置 PuTTY 使用私钥登录 1. 打开 PuTTY，在 Session 中填写IP、端口、连接方式SSH 2. 指定私钥 左侧导航：Connection → SSH → Auth 点击 Browse，选择你保存的 .ppk 文件（如 mykey.ppk） 3. 返回 Session，保存会话（推荐） 在 "Saved Sessions" 输入名称（如 Debian Server） 点击 Save 4. 点击 Open 连接 首次连接会提示确认服务器指纹，点 Yes 如果设置了密钥密码，会弹出窗口要求输入 passphrase 登录成功即表示密钥认证生效！ 禁用密码登录 重要提示：确保密钥能正常登录后，再执行这一步！ 编辑SSH配置文件： sudo nano /etc/ssh/sshd_config 找到并修改这两行： PasswordAuthentication no PubkeyAuthentication yes 重启SSH服务： sudo systemctl restart sshd 从此以后，黑客就算试到天荒地老，也猜不出你的”指纹”。

配置端口 sudo ufw allow 22/tcp # 允许 SSH（若改了端口，写实际端口） sudo ufw allow 80,443,5432,8080/tcp # 若运行 Web 服务 sudo ufw enable 查看状态 sudo ufw status verbose 删除规则 # 方法1：按编号删除 sudo ufw delete 2 # 方法2：按规则删除 sudo ufw delete allow 80/tcp 封禁某个恶意IP sudo ufw deny from 103.x.x.x # 关闭防火墙 sudo ufw disable # 重新启用 sudo ufw enable 启用 UFW 日志 sudo ufw logging on 若你自定义了 UFW 日志路径（如通过 rsyslog 规则）： 否则日志会混在 /var/log/kern.log 或 /var/log/syslog 中。 测试触发一条 UFW 日志（比如访问一个被拒绝的端口）： curl http://192.168.31.100:8080 查看 sudo journalctl -k | grep -i "UFW"

1 防火墙放行 sudo ufw allow 4453/tcp 2 修改配置文件 sudo nano /etc/ssh/sshd_config 找到这一行（可能有#注释符）： #Port 22 改成： Port 4453 3 重启服务 sudo systemctl restart sshd 4 测试 新开一个终端窗口，用新端口登录： ssh -p 23456 用户名@服务器IP 测试成功后，才能关闭旧窗口。万一改错了还有救。

启动并设置开机自启： sudo systemctl start fail2ban sudo systemctl enable fail2ban 看到 Created symlink... 之类的提示就说明成功了。 第二步：配置fail2ban（重点） 理解配置文件 fail2ban有两个配置文件： /etc/fail2ban/jail.conf - 默认配置（不要动它） /etc/fail2ban/jail.local - 你的自定义配置（在这里改） 为什么要分两个文件？因为软件升级时会覆盖 jail.conf，但不会动 jail.local。 创建自定义配置 sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo nano /etc/fail2ban/jail.local 核心配置项（用人话解释） 找到 [DEFAULT] 部分，修改这几个参数： [DEFAULT] # 封禁时长（秒）：这里设10分钟 bantime = 600 # 检测时间窗口：10分钟内的失败尝试会被统计 findtime = 600 # 失败次数阈值：10分钟内失败5次就封 maxretry = 5 # 白名单IP：这些IP永远不会被封 ignoreip = 127.0.0.1/8 ::1 小贴士：把你自己的家庭IP或办公室IP加到 ignoreip 里，避免误伤自己。 配置SSH保护 找到 [sshd] 部分，修改成： [sshd] enabled = true port = 23456 # 改成你实际的SSH端口 filter = sshd logpath = /var/log/auth.log # Debian/Ubuntu用这个 # logpath = /var/log/secure # CentOS/RHEL用这个 maxretry = 3 # 改成3次，更严格 bantime = 3600 # 封禁1小时 解释一下： enabled = true - 启用SSH保护 port - 你的SSH端口（如果改过默认端口，这里要写对） maxretry = 3 - 3次机会，比默认的5次更严格 bantime = 3600 - 封禁1小时（3600秒） 第三步：重启fail2ban sudo systemctl restart fail2ban 第四步：验证是否生效 # 查看fail2ban运行状态 sudo systemctl status fail2ban # 查看SSH监狱状态 sudo fail2ban-client status sshd 如果看到类似这样的输出，就说明成功了： Status for the jail: sshd |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list: 进阶配置：让fail2ban更强大 配置1：永久封禁重复犯罪者 有些攻击者被封后会换个IP继续攻击。我们可以设置"累犯"规则：被抓3次，直接永久拉黑。 在 jail.local 里找到或添加： [recidive] enabled = true bantime = -1 # -1表示永久封禁 findtime = 86400 # 24小时内 maxretry = 3 # 被封3次就永久拉黑 解释：如果一个IP在24小时内被封禁3次，第三次就是永久封禁，再也别想连上你的服务器。 配置2：保护其他服务 fail2ban不仅能保护SSH，还能保护Web服务器、数据库等。 比如保护Nginx： [nginx-http-auth] enabled = true port = http,https logpath = /var/log/nginx/error.log maxretry = 3 bantime = 3600 配置3：白名单设置 如果你有固定的办公室IP或家庭IP，强烈建议加到白名单： ignoreip = 127.0.0.1/8 ::1 你的家庭IP 你公司的IP段 比如： ignoreip = 127.0.0.1/8 ::1 123.45.67.89 192.168.1.0/24 查看fail2ban的工作成果 查看当前封禁了多少IP sudo fail2ban-client status sshd 查看详细日志 sudo tail -f /var/log/fail2ban.log 你会实时看到fail2ban的工作记录 每一条BAN记录，都是一个被拦在门外的攻击者。 手动操作 有时候你可能需要手动封禁或解封某个IP： # 手动封禁某个IP sudo fail2ban-client set sshd banip 1.2.3.4 # 手动解封某个IP sudo fail2ban-client set sshd unbanip 1.2.3.4 常见问题Q&A Q：我会不会把自己封了？ A：只要把你的IP加到 ignoreip 白名单里就不会。另外，云服务商通常提供VNC控制台，可以绕过网络直接登录。 Q：封禁时间设多久合适？ A：建议先设10分钟到1小时，观察效果后再调整。太短了攻击者会继续尝试，太长了可能误伤正常用户。 Q：如何判断是攻击还是用户忘记密码？ A：看IP来源和频率。正常用户偶尔输错1-2次，攻击者是短时间内大量连续尝试。 Q：fail2ban会影响服务器性能吗？ A：几乎没有影响。它只是读日志和操作防火墙，反而因为拦截了攻击，减轻了SSH服务的压力。 Q：万一fail2ban出问题怎么办？ A：云服务商都有VNC/控制台可以直接登录。或者临时停止fail2ban：sudo systemctl stop fail2ban 安装前后对比 安装前： 每天上千次攻击尝试 日志被刷屏，看不清真实问题 服务器资源被消耗 安装后： 攻击者尝试几次就被拦在门外 日志清爽，只看到被封禁的记录 服务器更稳定，资源占用更低 一个真实案例：某用户配置fail2ban前，每天有1000+次失败登录。配置后，第一天就封禁了50多个IP，现在每天只有零星几次尝试，而且都是新IP，试几次就被封了。