如何确保自己的家庭服务器没有被黑

官方提供了 ntopng ，先试一下

精力有限，技术也有限，我是这么做的：
底层 PVE ，仅安装 Tailscale ，尽可能不做修改
大型的 docker 分别使用独立的 VM ，零星简单的 docker 按自己心里的安全评估分别使用不同的 VM

目前 7 个独立的 VM：相册、网盘、青龙、plex 、openwrt 、cloudflared 、adguardhome ，这 7 个程序正常都是通过另一个 VM 内的 nginx 提供外部访问
一个混合了一堆 docker 的 VM ，里面跑了 nginx 、ddns 、frp 等杂七杂八的程序，主要负责提供对外访问
外部是一个上海服务器、一个新加坡服务器转发 443 端口到 nginx

最后就是定期换 SSH 密钥，关闭密码登录/超长复杂密码

华硕路由器可以 netstat-nat 看一下连接信息
但 ipv6 无能为力, 家里物联网设备可能最好用单独的 ipv4 only 网络

弄个蜜罐？
或者持续监视关键文件是否有修改？

从被黑之后你担心什么东西被怎么了出发，担心数据泄露就从数据角度做。担心挖矿就做挖坑监控和蜜罐。担心被当跳板肉鸡就上软件防火墙筛选流量。

我没有公网 v4 ，只有一个 v6 做 ddns ，ddns 的那台机器不装服务，ssh 也没有，其他所有东西都通过特定端口转发完成，并且内网应用的 nginx 不做转发，要外部访问的另一个 traefik 才做转发。另外还搭建了 wireguard ，尽量通过隧道访问。

装个 fail2ban ，专门检测暴力密码破解，默认密码输入 3 次（可以自己设置）错误就拉入黑名单。我主要用来防止 ssh 登录用，以前在 vps 上使用很管用，国内 vps 一周下来要拦截几百个 ip

买 PANABIT FORTINET 流控 防火墙分析流量。