原因：

两台 VPS 的 ssh 端口一直被密码重试， us 这台已经封了 632,  jp 这台两周前清过一次 sqlite3 数据，现在赞到 1008

Fail2Ban 是使用 sqlite3 来记录，数据量大后，硬盘的 I/O 会飙升，我有写过一个 app Project-33 来统计攻击并与地理位置匹配，但没有发 code，主要是没使用需求。

关联的文章：

当发现 计算机被 网络上的其它 IP 地址攻击 找谁？_22.41.46.66网络攻击-CSDN博客

＜ 自用文儿 ＞ 下载 MaxMind GeoIP Databases 对攻击的 IP 做 地理分析_maxmind geoip 下载-CSDN博客

＜ OS 有关 ＞ 阿里云 几个小时前 使用密钥替换 SSH 密码认证后， 发现主机正在被“攻击” 分析与应对 -CSDN博客

环境：

两台 VPS: JP、USW
操作系统：Ubuntu 24
APPs: ufw 只安装在 USW

被动修改 SSH 端口从 22->9922

1. 在东京的阿里云 jp

1) 修改配置文件

sudo sed -i 's/^Port 22$/Port 9922/' /etc/ssh/sshd_config

2）在阿里防火墙开放端口 9922，并禁止 22

3）重启计算机

sudo reboot

2. 在美国的 VPS:usw

1) 修改配置文件

sudo sed -i 's/^Port 22$/Port 9922/' /etc/ssh/sshd_config

2）在 ufw 中配置

打开 9922 端口，禁用原 22 端口

ufw allow 9922/tcp
ufw deny 22/tcp

查看 ufw，以确定修改成功

sudo ufw status verbose

3）重启计算机

sudo reboot

小结：

fail2ban 不需要修改，因为它的识别方法：filter=sshd