centos - linux服务器被破解ROOT后如何快速更改密码？

Question

本人有台国外的linux，最近老检测到有黑客在暴力破解，已经禁止此ip了。同时设置了root登陆系统后会自动发邮件通知等等。

最坏的情况下，黑客还是通过各种手法拿到了我的root密码，如何快速响应处理这些问题并修改root密码？

---

添加情景：假设黑客破解了密码后，立即经修改了root密码

Answer 1

root密码这个东西压根就不应该存在……

正确的姿势是你的用户在sudoer中，root用户没有密码，不可登录

至于自己的用户如何保护，除了已经提到的去掉密码用证书之外，还可以考虑

• 修改SSH端口号，22这样的端口必然是暴露在大量扫描器的火力之下的
• 激进一点还可以限制SSH只监听几个IP地址
• Google Authenticator的PAM验证模块。也就是两步验证，可以在黑客黑了你的电脑拿走你的证书，拿到你的证书密码以后，短时间内仍然无法登陆。

安全方面我也并不熟悉，希望有更熟悉Linux安全的人出现解答：）

Answer 2

如果你怀疑你的服务器的root权限已经被别人非法拿到，有两种情况：

• 服务器root密码修改，公钥/sudo用户全部无法登陆。
  
  
  • VPS：用你的服务提供商的面板，进行密码重置
  • 托管机器：联系你的托管机房，利用ilo或者直接SA当面操作，进行root密码重置
• 拿回root权限或者root权限泄漏，但是依然可以登陆的
  
  
  • 请避免在此机器上进行一切行动，特别是ssh到其他机器等
  • 备份数据到第三方机器
  • 格盘，重装系统，切勿有侥幸心理，改下密码就继续用。很可能你的机器上已经有了后门
  • 你如果在怀疑期内通过此机器登录过其他机器，那么上述内容同样应用于其他机器，还是很麻烦的。所以事先做好预防是最重要的。禁止密码登录啦，使用公钥登录，私钥一定要设密码等等。。

Answer 3

如果只是直接面对你这个问题，答案是没有办法。root就是Linux的上帝……约束上帝的力量，除非上层再有chroot或虚拟机的包装才有可能。已经直接运行在服务器上的root怎么都做不到。

所以用XY问题的考虑方法，以预防代替补救才是正确的。 @mcfog 的回答非常好。

Answer 4

被人改了密码就不好搞了。

你可以预防

关闭密码登录，使用ssh证书登录