云服务器出现大量 sshd 进程

2017-07-18 19:50:23 +08:00
 doggg

新人不太明白这个节点是否正确。望前辈海涵。

9316 次点击
所在节点    全球工单系统
28 条回复
julyclyde
2017-07-19 13:28:18 +08:00
带 priv 那个就是登录进程
你可以用 last 命令查看
或者 /var/log/secure 日志文件

@doggg
cnfzv
2017-07-19 16:15:15 +08:00
@besto 只允许非 root,非 sudo 用户登陆的话怎么在 ssh 后处理 root 进程运行的服务器?求解
besto
2017-07-19 17:05:05 +08:00
@cnfzv 有 su 命令。
cnfzv
2017-07-19 17:32:07 +08:00
@besto 如果可以普通用户登陆,这样一来还是可以破解 su 密码的吧? sudo 用户+key 是不是会好一些
besto
2017-07-20 10:30:46 +08:00
@cnfzv 所以 1,2 是必做,后面选做,当然都做了最安全。拿普通用户登录就想破 su 密码也是心大,就是把 shadow 那个文件给你,密码强度足够的情况下,也要算很久才有结果。
c4fun
2017-07-20 16:03:08 +08:00
@besto 我有一个问题哈,ssh 的端口就算换了之后,用 nmap 应该能够扫出来的。这一步如果不做的话,对系统安全性的影响不会太大吧。
besto
2017-07-20 17:31:23 +08:00
@c4fun 恰好相反,这一步很重要。
不信的话,开两台服务器,一台保留 22,一台随便换个口。一个月之后去读尝试登录的 log 看看。

我们讨论的是针对大量常规攻击的 case,实际上很多并不是刻意去攻击你的服务器,而就是一些自己脚本抓着服务器,扫一扫,开始尝试各种默认端口+弱密码,比如 22/1080/3128 啥的。

真的有目的性的开始上到 nmap 级别,那就要更近一步了,比如 fail2ban,还有拒绝 ping。
c4fun
2017-07-29 11:08:33 +08:00
@besto 好的,也就是说改变 22 端口到其他端口可以避免大量的 22 常规攻击嘛,也可以使自己的 acess.log 清净很多。那像数据库的 3306 等端口也需要变更吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/376242

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX