Bagaimana saya benar-benar mematikan ssh server?

15

Saya menonaktifkan server ssh dengan systemctl menonaktifkan ssh kemudian reboot. Setelah reboot, saya masih bisa masuk ke server jauh melalui ssh. Saya menggunakan status systemctl ssh untuk memeriksa status server dan tidak aktif.

$ systemctl -a | grep ssh
ssh.service                                               loaded    inactive dead      OpenBSD Secure Shell server
[email protected]:22-192.168.0.104:31079.service        loaded    active   running   OpenBSD Secure Shell server per-connection daemon (192.168.0.104:31079)
system-ssh.slice                                          loaded    active   active    system-ssh.slice
ssh.socket                                                loaded    active   listening OpenBSD Secure Shell server socket
codexplorer
sumber
Bisakah Anda menambahkan output systemctl status sshke pertanyaan Anda?
Fiximan
Ini seperti:● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled) Active: inactive (dead) since Tue 2019-07-09 23:25:16 CST; 1s ago
codexplorer
1
Selain itu Anda harus memblokir port 22 di firewall, sehingga meskipun server SSH berjalan entah bagaimana, itu tidak akan dapat diakses dari jarak jauh.
dr01

Jawaban:

26

Soket SSH systemd aktif, dan layanan SSH diaktifkan soket. Anda perlu menonaktifkan soket juga:

systemctl disable --now ssh.socket

Bahkan, pada sistem Arch saya, daemon sshd berjalan hanya ketika koneksi baru masuk. Di lain waktu, satu-satunya contoh sshd adalah proses anak yang dipotong untuk menangani koneksi tersebut.

Lihat juga:

muru
sumber
2
@pender itu adalah blog resmi Lennart Poettering, jadi sulit untuk mendapatkan sumber yang 'lebih baik' dari itu. Tidak yakin mengapa Anda mendapat peringatan dari Firefox, tapi saya tidak
Michael Snook
1
Ah, Anda mungkin mendapat peringatan tentang sertifikat yang ditandatangani sendiri.
muru
1
@Spender: Memang pesan kesalahannya benar-benar mengerikan. Seharusnya memberitahu Anda untuk tidak mengirimkan data pribadi ke situs, bukan bahwa "peretas dapat mencuri data Anda [tersirat: saat-istirahat] jika Anda mengunjungi situs". Bunyinya seperti pesan scareware / palsu-AV yang harus dilatih pengguna untuk diabaikan .
R .. GitHub BERHENTI MEMBANTU ICE
1
Karena Lets Encrypt mudah digunakan, Poettering harus menggunakannya alih-alih sertifikat yang ditandatangani sendiri. : /
muru
5
@muru beri Poettering sedikit waktu - butuh waktu untuk mengintegrasikan CA ke manajer init ....
ivanivan