额外的 sshd 根实例

额外的 sshd 根实例

我已经通过 ssh 登录到运行 Centos 7 的服务器并执行以下命令:

[me@server ~]$ ps -ef --forest | grep ssh

root     476     1  0 Dec02 ?       00:00:00 /usr/sbin/sshd -D
root   12366   476  0 23:26 ?       00:00:00  \_ sshd: me[priv]
me     12368 12366  0 23:27 ?       00:00:00  |   \_ sshd: me@pts/0
me     12405 12369  0 23:27 pts/0   00:00:00  |           \_ grep --color=auto ssh
root   12401   476  0 23:27 ?       00:00:00  \_ sshd: root [priv]
sshd   12402 12401  0 23:27 ?       00:00:00      \_ sshd: root [net]
me     12399     1  0 23:27 ?       00:00:00 ssh-agent

第二个子进程 sshd (PID = 12401) 属于 root,它是什么?这可能是某种恶意连接吗?

(通过 ssh 禁用 root 访问后,该过程不会出现。)

答案1

在此示例中,您可以看到以下两个过程:

root   12401   476  0 23:27 ?       00:00:00  \_ sshd: root [priv]
sshd   12402 12401  0 23:27 ?       00:00:00      \_ sshd: root [net]

这和你的那对完全不同:

root   12366   476  0 23:26 ?       00:00:00  \_ sshd: me[priv]
me     12368 12366  0 23:27 ?       00:00:00  |   \_ sshd: me@pts/0

sshd: root [priv]守护进程的特权进程,正在等待sshd: root [net]子进程进行身份验证。这意味着,当您执行 时ps,正在进行一些身份验证尝试,其中root用户正在尝试登录。

在公共 IP 上以及在标准端口上运行服务时,这种情况并不罕见sshd。每天您可能会遇到数百次此类尝试,但如果您有强密码,则并不危险。

相关内容