@bdbai
放 Docker 里显示了对某些软件缺少信任吧

@bdbai
恩，是一个不错的选择
我考虑现在的这个电脑也只再陪我一年，是不是没准我就凑和过去了

@hei1000

私有驱动确实是一升级就完蛋，就连官方的 Virtualbox 也需要在内核升级后重新编译内核模块。
但是，用开源驱动就好了嘛～

当然，如果确实需要强劲的显卡性能，那就是要麻烦一点点

@realpg 我记得你 :-D
我们确实没有开任何其他的服务，端口只有 22 开放了。

之前我们考虑过在服务器前面放一个千兆路由，加速服务器间文件传输，也有利于安全（主要是对抗 arp 病毒）。
但是基于两个原因，我们没有这样作。

1. 由于历史原因，我们的服务器中有一台帮定了 IP ，固定 IP 还是一个非常重要的资源，在外网能够访问到服务器还是很重要的。如果需要放路由，就需要修改路由 MAC ，在路由上做端口映射，而且机房里还有一个托管服务器，那么就需要交换机、路由、交换机，需要重新布线，手续有点多。如果哪天主页要迁回之前帮定 ip 的服务器，那么又会来很多问题。

2. 安全问题不在于暴力破解 ssh 登陆密码，而是 windows 用户的电脑安全。前置路由对已经获得用户名和密码的情况效果估计不太大，服务器间文件传输速度提升并不迫切。

我从 fedora 13 开始就完全迁移到了 Linux 桌面环境，
QQ 、网银和 office 还是需要依靠虚拟机，这个是没有办法的事情，
但也不用在意这个细节，毕竟就算 QQ 出个非常好用的 Linux 版本，我估计也要把它放到 Docker 里...233

我感觉现在的 linux 桌面还是比较好用的，准确的说是有一些点不是不好用，但还能对付，但如果对比 windows ，我宁愿继续用 linux 。 Linux 的半图形界面半命令行的混合使用方式非常高效，程序的运行速度不要太快，良好的稳定性对桌面环境也很有益，基于 POSIX 标准的设计对兼容性也可以接受，总而言之是让人欲罢不能。

我最近的一个主要工作机器使用的是 Opensuse 13.1 ，从发布就安装了，然后又升级到 13.2 ，我已经打算停在这里了。这几年里图形界面从没有出过大问题，最多就是偶尔输入法自己死掉了，时间同步要依靠命令行手动执行。

而次要机器换系统的原因也不是因为图形界面崩溃或者什么的，基本上都是因为某些发行版出了新的版本，尝尝新鲜。而内核升级什么的我也不觉得对新人有什么麻烦的地方。

总之，你说的都有道理，尤其是不应该太依赖商业公司，我表示严重同意，但我还是对现在 Linux 的桌面环境表示满意

@scys
因为有很多人都了解和 linux 相关的事情，改成密钥登陆他们会比较费劲。

从安全角度来说，由于他们也基本不会改密码了，所以在实际使用上 10 位随机密码也不比密钥登陆危险太多

@dzxx36gyy
真不知道有这个模块，我们一般只是报配置，因为都是数值计算用的。

@ericls
没有了吧，大概，反正端口只有开放 22 。

@gpw1987
见附言

@flexbug
系统更新是定时任务，一天两次

@onice
服务器倒是没有开什么服务，我们主要的安全问题可能是有不少的普通用户，用户名和密码泻露的可能性比较大，但是只要对方不能本地提权，我们也能接受

@jemyzhang
手动更新提醒～

@tairan2006
国有资产...

@xhat
前两次重装系统的时候都有重新写引导，所以 mbr 应该被覆盖了

@winkidney
检查结果，多了一个用户....

@BSD
现在看起来有可能会是 ipmi 的原因，如果最近测试再发现不行的话，我就听你的建议去要监控录像～

@winkidney
我们的服务器上确实有这个东西，而且我们谁都不知道......

我们改了密码，明天插网线测试，
再次表示感谢～

@cevincheung
恩，这个治标不治本啊，迟早会被再被对方扫到吧

@shiny
应该没有，上次服务器被黑之后就仔细检查过自己的电脑，
没有多余用户，没有奇怪进程，没有多余的网络连接， last 里没有奇怪记录，
最重要的是，如果管理员的电脑被黑了，那么应该还有其他服务器被黑才对

@ChangeTheWorld
如果还需要重装系统的话，肯定要去看 bios 了，不过刷服务器 bios 还是满虚的


@tobylee
@BSD
机房就是我们自己的，我觉得内部人士动手脚的可能性很小很小，因为有这个能力的人已经是管理员了，其他都是 windowsers ...，而且黑进来后的一些细节也暗示应该是外来入侵
服务器用的 BIOS ，没有 UEFI

@tracert
管理员用的 ssh 是源里的，普通用户有可能会使用被加了后门的 ssh-client ，但是对一个很好更新的系统本地提权... 只能说不能否认这种可能性

@janxin
只开了 22 端口，真的，这个服务器是做数值计算的，目前上面没有任何盗版甚至私有软件，准确的说我们目前只装了 gcc 系列

@nicevar
安装好（更新和安全配置都完成）之后静置了 24 小时，这段时间有网络连接， sshd 开启，之后发出了两个普通用户密码，其中一个是 linux user ， 20 小时内发现服务器重起，多了一个 root 用户。

@winkidney
非常有用的信息，我们现在在核对这个

@VmuTargh 物理接触应该不会，有这个技术的已经是管理员了...


@xuboying 只有这一台机器重启，而且确实多了一个 root 用户。

@lightening
你说不一定获取了私钥，
我理解成你问我为什么要重新生成本地的私钥（在附言里讲的那个），

所以我就解释了一下对方可能在获得 root 权限后把 ssh-server 换了。

@xiaket 行内人啊

@lightening
最近 ssh-client 爆出了一个漏洞，这个漏洞貌似可以使一台恶意配置的 ssh 服务器获取连接到这个 ssh-server 的计算机内存内容，获取用户用于 SSH 连接的私钥。
如果对方替换了服务器的 ssh-sever 程序，就有可能利用这个漏洞获得的私钥。

最近观察了一下服务器的情况，顺便等计算任务结束，回复大家晚了很抱歉。
我会在附言里讲讲后来的处置，给故事结个尾。

@Guenlay
我们也是猜可能是某个普通用户的密码泄漏了，然后被本地提权。

@nekoyaki
你提供的思路开阔眼界了，不过机器上没有开 redis 或类似的服务。

@lightening
据说 heartbleed 不会导致 ssh 密钥泄漏

@lasse 竟然是年底发布，不是 WWDC 或者 3 月 21 ？