云服务器出现大量 sshd 进程

带 priv 那个就是登录进程
你可以用 last 命令查看
或者 /var/log/secure 日志文件

@doggg

@besto 只允许非 root，非 sudo 用户登陆的话怎么在 ssh 后处理 root 进程运行的服务器？求解

@cnfzv 有 su 命令。

@besto 如果可以普通用户登陆，这样一来还是可以破解 su 密码的吧？ sudo 用户+key 是不是会好一些

@cnfzv 所以 1,2 是必做，后面选做，当然都做了最安全。拿普通用户登录就想破 su 密码也是心大，就是把 shadow 那个文件给你，密码强度足够的情况下，也要算很久才有结果。

@besto 我有一个问题哈，ssh 的端口就算换了之后，用 nmap 应该能够扫出来的。这一步如果不做的话，对系统安全性的影响不会太大吧。

@c4fun 恰好相反，这一步很重要。
不信的话，开两台服务器，一台保留 22，一台随便换个口。一个月之后去读尝试登录的 log 看看。

我们讨论的是针对大量常规攻击的 case，实际上很多并不是刻意去攻击你的服务器，而就是一些自己脚本抓着服务器，扫一扫，开始尝试各种默认端口+弱密码，比如 22/1080/3128 啥的。

真的有目的性的开始上到 nmap 级别，那就要更近一步了，比如 fail2ban，还有拒绝 ping。

@besto 好的，也就是说改变 22 端口到其他端口可以避免大量的 22 常规攻击嘛，也可以使自己的 acess.log 清净很多。那像数据库的 3306 等端口也需要变更吗？