Wie kann ich den ssh-Server wirklich herunterfahren?

15

Ich deaktiviere den SSH-Server mit systemctl Disable SSH und starte dann neu. Nach dem Neustart kann ich mich immer noch über ssh beim Remote-Server anmelden. Ich benutze systemctl status ssh, um den Serverstatus zu überprüfen und er ist inaktiv.

$ systemctl -a | grep ssh
ssh.service                                               loaded    inactive dead      OpenBSD Secure Shell server
[email protected]:22-192.168.0.104:31079.service        loaded    active   running   OpenBSD Secure Shell server per-connection daemon (192.168.0.104:31079)
system-ssh.slice                                          loaded    active   active    system-ssh.slice
ssh.socket                                                loaded    active   listening OpenBSD Secure Shell server socket
Codexplorer
quelle
Könnten Sie die Ausgabe von systemctl status sshzu Ihrer Frage hinzufügen ?
Fiximan
Es ist sehr ähnlich wie:● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled) Active: inactive (dead) since Tue 2019-07-09 23:25:16 CST; 1s ago
Codexplorer
1
Außerdem sollten Sie Port 22 an der Firewall blockieren, damit der SSH-Server auch dann nicht von Remote aus erreichbar ist, wenn er auf irgendeine Weise ausgeführt wird.
dr01

Antworten:

26

Der SSH-Socket des Systems ist aktiv und der SSH-Dienst ist Socket-aktiviert. Sie müssen auch den Socket deaktivieren:

systemctl disable --now ssh.socket

Tatsächlich wird der sshd-Dämon auf meinem Arch-System nur ausgeführt, wenn eine neue Verbindung eingeht. In anderen Fällen sind die einzigen Instanzen von sshd die untergeordneten Prozesse, die für die Verarbeitung dieser Verbindungen abgeschaltet wurden.

Siehe auch:

muru
quelle
2
@spender ist das offizielle Blog von Lennart Poettering, es ist also schwierig, eine bessere Quelle zu finden. Ich bin mir nicht sicher, warum Sie eine Warnung von Firefox erhalten, aber ich nicht
Michael Snook
1
Ah, Sie werden wahrscheinlich vor seinem selbstsignierten Zertifikat gewarnt.
muru
1
@spender: In der Tat ist die Fehlermeldung absolut schrecklich. Es sollte Ihnen angezeigt werden, keine privaten Daten an die Site zu übermitteln, und nicht "dass Hacker Ihre [implizierten: ruhenden] Daten stehlen können, wenn Sie die Site besuchen". Es liest sich wie eine Scareware / Fake-AV-Nachricht, die Benutzer ignorieren sollten .
R ..
1
Da Lets Encrypt jetzt so einfach zu verwenden ist, sollte Poettering es anstelle von selbstsignierten Zertifikaten verwenden. : /
muru
5
@muru gib Pöttering ein bisschen Zeit - es braucht Zeit, um eine
Zertifizierungsstelle