Come posso veramente spegnere il server SSH?


15

Disattivo il server ssh con systemctl disabilita ssh quindi riavvio. Dopo il riavvio, posso ancora accedere al server remoto tramite ssh. Uso systemctl status ssh per controllare lo stato del server ed è inattivo.

$ systemctl -a | grep ssh
ssh.service                                               loaded    inactive dead      OpenBSD Secure Shell server
ssh@3-192.168.0.120:22-192.168.0.104:31079.service        loaded    active   running   OpenBSD Secure Shell server per-connection daemon (192.168.0.104:31079)
system-ssh.slice                                          loaded    active   active    system-ssh.slice
ssh.socket                                                loaded    active   listening OpenBSD Secure Shell server socket

Potresti aggiungere l'output di systemctl status sshalla tua domanda?
Fiximan,

È molto simile a:● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled) Active: inactive (dead) since Tue 2019-07-09 23:25:16 CST; 1s ago
codexplorer

1
Inoltre, dovresti bloccare la porta 22 sul firewall, in modo che anche se il server SSH è in qualche modo in esecuzione, non sarà accessibile da remoto.
dr01,

Risposte:


26

Il socket SSH systemd è attivo e il servizio SSH è attivato. È necessario disabilitare anche il socket:

systemctl disable --now ssh.socket

In effetti, sul mio sistema Arch, il demone sshd viene eseguito solo quando arriva una nuova connessione. Altre volte, le uniche istanze di sshd sono i processi figlio biforcuti per gestire tali connessioni.

Vedi anche:


2
@spender è il blog ufficiale di Lennart Poettering, quindi è difficile ottenere una fonte "migliore" di quella. Non sono sicuro del motivo per cui ricevi un avviso da Firefox, ma non lo sono
Michael Snook,

1
Ah, probabilmente stai ricevendo un avviso sul suo certificato autofirmato.
muru,

1
@spender: in effetti il ​​messaggio di errore è assolutamente orribile. Dovrebbe dirti di non inviare dati privati ​​al sito, non che "gli hacker possono rubare i tuoi dati [impliciti: a riposo] se visiti il ​​sito". Si legge come un messaggio scareware / fake-AV che gli utenti dovrebbero essere addestrati a ignorare .
R .. GitHub smette di aiutare ICE il

1
Ora che Lets Encrypt è così facile da usare, Poettering dovrebbe usarlo al posto dei certificati autofirmati. : /
muru,

5
@muru dà a Poettering un po 'di tempo - ci vuole tempo per integrare una CA in un gestore di
iniz
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.