洗个澡的功夫，服务器被人拿了 root

检查一下自身环境，国内不少下载的 putty 都有问题。早年用 putty 的时候一台 aws 的机器也被搞过。

1、改端口
2、密钥登录
3、密码登录话，加一个二次认证
这样基本不会被搞

好多人和小公司买的阿里云服务器都变成了矿机，而且还被装上了自动爆破程序，不断扫描其他主机
不改端口、允许 root 密码登录、不限制尝试次数、开启公网 mysql 访问这些主机很容易就成为鸡

@ScotGu 阿里云网页控制台好像不用 root 登陆直接能用。用完别退 exit 就好。要是这个控制台被人登陆了，估计你支付宝钱包也要遭

两件事：
1. 禁止 root 密码登陆
2. 打开防火墙，并配置规则，默认拒绝所有端口的连接，仅开放自己需要用到的。

@ctro15547 一般这类高危操作，都要验证一次手机验证码的吧

证书登录，把证书放在自己个人的同步盘 OneDrive/Dropbox 里面，手机上有 APP 就能下回来用 JuiceSSH 连接

@ScotGu #11 手机端也有很多支持证书验证的 terminal 吧（这个应该算是基本需求吧）
termius 之类

证书本来就是应该一个 client 一个密钥（不要共享，不用管理）

@hangvane 我密码是脸滚键盘的…… 30+混合符合大小写

@haiyang416 我 root 直接掉了，没权限了

@celeron533 xshell 官网下载的

我都是随机 20 位密码的- -。。从来没试过有事

我很好奇，你是怎么发现的

@mrzhang76 你这个肯定不是秘密爆破，密码随机 10 位以上就不能爆破了，ls 一堆禁止 root 登录或者密钥登录的真的没啥意思还麻烦

你肯定是用 root 的权限运行了一些 web 服务，然后别人用 web 服务的漏洞扫到你然后拿到你 root 的，于是你开了那些测试的 web 服务？来复盘吧

只对外开放必要的端口
禁止 root 登录
禁止密码登录

所以前两年 aws 发布会上某信息安全主管演讲中提到观点非常值得借鉴，大意：
“安全策略 /操作，得在环境建立起始就同步进行，因为你根本不知道恶意攻击 /漏洞何时会出现”。

上面各种怕麻烦的，谨祝你们的好运长久。

@likuku 可是没有任何证据说，root 长密码能被远程暴力破解的。
如果超长密码的前提下，服务器还是被 hack，只能说明密码是本机泄露的，这样的情况下，用证书登录同样会出问题。

@3dwelcome 拿 root 登陆并日常使用，这本身就是高风险操作... 习惯不好，不值得。

打个比方：
即便如今奥地利格洛克使用了多重保险措施，装弹上膛后随意摔打+汽车碾压，都安全可靠，
没事时不时拿着它用“准星前端”给自己脑袋挠痒痒，依然是很不明智和危险的事。

好奇怪，ssh-keygen 完了 ssh-copy-id 下，之后直接就进去了，那些 duangduangduangduang 每次都输入十几位口令的，是觉得自己手速特别快，不展示下可惜了么？

要是普通用户想要 root 那太简单了，配置下 sudoer 即可控制免密码。

我的方法简单，ssh 端口改到 5 位数，密码随机 30 位数以上，然后怕忘记可以用纸写下来压在键盘下，完事