云服务器出现大量 sshd 进程

使用 Bitvise SSH Client 会出现：远程主机强迫关闭了一个现有连接。

被爆破了吧
netstat 看看


@ovear 应该是有人闲得蛋疼是吗？

ip 地址在浏览器访问，124.207.115.68 。这就尴尬了。我什么事都没做过，怎么被这家搞上了？

这种情况 fail2ban 应该可以解决

@csx163 满分！谢谢你了。

看起来是已经进去了，谈不上 fail 的问题，更谈不上 fail2ban

@julyclyde 密码比较复杂，会很容易进去吗？ 现在 fail2ban 已经自动禁止那个 ip 了。

禁止远程 root 登录啊

老生常谈的安全问题，SSH 只允许 key 登录是最基本的保障。

如 11 楼 @cxbig 所说.

用 key 登录

更改 22 端口为其他端口 比如 1999

@cxbig key 与密码登录也能防止出现大量 sshd 进程？新手不太明白原理。

限制密钥登陆，基本可以保证 sshd 不会被恶意登陆

老生常谈的服务器安全问题，前 2 项是一定要做的，后面选做。
1. 只允许非 root，非 sudo 用户登陆。
2. 换端口。
3. Key 登陆，密码不可登陆。
4. CHROOT 监狱。
5. 阿里云这种，平时关闭 ssh/或是封掉 SS 端口，要用的时候打开。
6. fail2ban

PS，你基本可以重装系统了。。。

矿机了

是不是用了假的 bitvise ？

使用 fail2ban，重启了一下，服务器已经没有额外的 sshd 进程了。netstat 也正常。

非 sudo 用户登陆 那么怎么在 ssh 以后使用 sudo 启动一些服务？

带 priv 那个就是登录进程
你可以用 last 命令查看
或者 /var/log/secure 日志文件

@doggg

@besto 只允许非 root，非 sudo 用户登陆的话怎么在 ssh 后处理 root 进程运行的服务器？求解

@cnfzv 有 su 命令。

@besto 如果可以普通用户登陆，这样一来还是可以破解 su 密码的吧？ sudo 用户+key 是不是会好一些

@cnfzv 所以 1,2 是必做，后面选做，当然都做了最安全。拿普通用户登录就想破 su 密码也是心大，就是把 shadow 那个文件给你，密码强度足够的情况下，也要算很久才有结果。

@besto 我有一个问题哈，ssh 的端口就算换了之后，用 nmap 应该能够扫出来的。这一步如果不做的话，对系统安全性的影响不会太大吧。

@c4fun 恰好相反，这一步很重要。
不信的话，开两台服务器，一台保留 22，一台随便换个口。一个月之后去读尝试登录的 log 看看。

我们讨论的是针对大量常规攻击的 case，实际上很多并不是刻意去攻击你的服务器，而就是一些自己脚本抓着服务器，扫一扫，开始尝试各种默认端口+弱密码，比如 22/1080/3128 啥的。

真的有目的性的开始上到 nmap 级别，那就要更近一步了，比如 fail2ban，还有拒绝 ping。

@besto 好的，也就是说改变 22 端口到其他端口可以避免大量的 22 常规攻击嘛，也可以使自己的 acess.log 清净很多。那像数据库的 3306 等端口也需要变更吗？