Kris' Blog

背景在使用 VS Code 通过 Remote SSH 连接服务器时，每次操作都需要输入密码，效率较低。 通过配置 SSH 密钥登录，可以实现免密连接服务器，同时提升安全性与操作体验。 一、原理SSH 免密登录基于非对称加密： 本地生成密钥对 → 公钥上传服务器 → 私钥本地保存 → 自动认证 二、本地生成密钥在本地终端执行： ssh-keygen -t ed25519 -C "yourname-hexo" 提示： 文件路径：直接回车（默认） passphrase：可留空（方便使用） 生成后会得到两个文件： ~/.ssh/id_ed25519 # 私钥（保密） ~/.ssh/id_ed25519.pub # 公钥（上传到服务器） 三、上传公钥到服务器方法一（推荐）在本地执行： ssh-copy-id root@你的服务器IP 输入一次密码即可完成配置。 方法二（Windows 手动方式）在 Windows CMD 中执行： type %USERPROFILE%\.ssh\id_ed25519.pub 复制输出内容。 ...

背景服务器配置好 TCP 22 在公网中持续暴露，后疯狂被爆 SSH，在 G 老师帮助下学到 Fail2ban 一些知识，便记录之。 一、工作机制日志 → 识别攻击行为 → 动态封禁 IP（iptables / nftables） 二、工作原理1️⃣ 监听日志例如： /var/log/auth.log journalctl -u ssh 2️⃣ 用规则识别攻击比如： Failed password for root from x.x.x.x 👉 Fail2ban 会匹配连续失败登录 3️⃣ 触发封禁如果达到阈值，执行： iptables -A INPUT -s 1.2.3.4 -j DROP Fail2ban 做防火墙规则自动判断。 三、Fail2ban 能做什么（能力边界）✅ 能做的1️⃣ 防 SSH 爆破（最重要）2️⃣ 防 Web 攻击（Nginx）比如： 扫描 /wp-admin SQL 注入尝试 恶意 UA 3️⃣ 防扫描4️⃣ 防 DDoS（轻量级）👉 不是专业防护，但能挡低级攻击 ❌ 不能做的 ❌ 高级 DDoS（需要云防护 &#...

时隔八年，我又一次搭起了自己的网站。 最初，是从一台服务器开始的。不知道该选什么配置，也不知道系统该怎么装。 接下来，是一连串陌生的词汇——Linux、Nginx、PHP。每一个，都像一道需要跨过去的门槛。 那段时间，大概就是在各种论坛、贴吧、博客之间来回穿梭。一条一条对，一行一行试。 配置是照着抄的。报错了，就继续查、继续试。从零散的信息里拼出一个“可能的答案”，再慢慢逼近问题本身。 有时候，甚至连该搜索什么都不知道。 但就是这样，一点点堆起来的。很慢，很笨，也很扎实。 直到最后真正跑通的那一刻——那种成就感，是非常具体的。 八年之后，我又从头开始。 环境几乎没有变化。还是那一套工具，还是那些配置文件。 但过程已经完全不同。 很多问题还没来得及理解，就已经被解决；很多配置也不需要反复试错，只要按步骤执行，就能顺利完成。 一切变得异常顺畅。 甚至有时候，会产生一种错觉——好像并不需要真正理解什么，事情也可以完成。 技术本身并没有改变。 还是 Linux，还是 Nginx，还是那些熟悉的结构。 改变的，是过程中的某些部分。 曾经需要通过反复试错建立起来的理解，正在被一种更高效的...