US 节点系统安全巡检报告

结论：US 节点业务服务运行正常，但系统安全基线偏弱，最大风险是 SSH 仍允许 root 密码登录且正在遭受高频爆破；建议尽快执行 SSH 加固、安装 fail2ban、关闭 rpcbind 公网暴露。

高风险只读巡检US 186.241.84.19

系统

CentOS 7

Kernel 3.10.0-957.1.3.el7.x86_64

资源

健康

内存 226/3789MB；磁盘 3.1G/30G；负载 0.64/0.71/0.57

SSH 攻击日志

22,885

近期 secure 日志中的失败登录/认证异常计数

失败服务

systemctl --failed 无失败单元

一、核心风险排序

等级	问题	证据	影响	建议
高	SSH 允许 root 密码登录	`passwordauthentication yes` `permitrootlogin yes` `maxauthtries 6`	公网 22 端口正在被爆破，若密码弱或泄露，风险极高。	改为仅密钥登录：`PasswordAuthentication no`、`PermitRootLogin prohibit-password`、`MaxAuthTries 3`，验证后 reload sshd。
高	fail2ban 未安装/未运行	`fail2ban LoadState=not-found`	爆破 IP 不会被自动封禁，日志和 SSH 服务持续承压。	安装 fail2ban 并启用 sshd jail，建议 maxretry=3，递增封禁时间。
中	rpcbind 公网监听	`:111`、`:::111`、UDP `:915`/`:::915`；`rpcbind active enabled`	如果没有 NFS/RPC 业务需求，这是不必要的公网攻击面。	确认无依赖后停止/禁用/mask `rpcbind.socket` 和 `rpcbind.service`。
中	CentOS 7 版本老旧	`CentOS Linux 7 (Core)`，内核 `3.10.0`	CentOS 7 已进入生命周期末期，安全补丁来源和兼容性需关注。	短期先加固 SSH/防火墙；中长期建议迁移到 Rocky/Alma/Ubuntu LTS。
低	Komari 探针正常	`komari-agent active enabled`；日志显示 WebSocket connected	监控可用。日志中出现一次 1006 断开后已自动重连。	无需处理，继续观察。

二、公开监听端口

端口	监听	进程	判断
22/tcp	* / :::	sshd	高风险当前允许密码登录，且爆破严重。
80/tcp	*	python	业务相关伪装/HTTP 页面，需确认进程来源与自启动方式。
443/tcp	:::	network-agent	业务相关 HKA-like Docker local-edge Reality 入口。
8443/tcp	127.0.0.1	nginx	仅本地本地 TLS web camouflage。
111/tcp+udp	* / :::	rpcbind	建议关闭无明确 NFS/RPC 需求时不应公网暴露。
25/tcp	127.0.0.1 / ::1	master	仅本地 Postfix/master 本地监听，非公网。

三、登录与攻击迹象

SSH 爆破非常明显：secure 日志中失败认证约 22,885 次。Top 来源包括 87.251.64.149（2903 次）、38.134.255.52（1271 次）、45.156.87.147（1263 次）等。

最近成功登录均为 root 公钥登录，来源为已知管理节点：

129.146.59.53
13.112.210.201

本轮未看到可疑成功密码登录；但由于密码登录仍开启，风险仍然需要尽快处理。

四、服务状态

服务	状态	说明
sshd	active enabled	服务正常，但配置不安全。
docker	active enabled	运行 `us-nginx-camouflage` 与 `edge-proxy` 容器，无直接 Docker 端口映射。
komari-agent	active enabled	已连接探针服务。报告中已脱敏 token。
xray	inactive wrapper	当前是 Docker edge-proxy 架构的兼容 wrapper，未作为直接 xray 服务运行。
firewalld/iptables	not-found/inactive	主机层防火墙缺失或未启用；如果依赖云防火墙，需要另外确认云侧规则。

五、建议执行顺序

立即加固 SSH：备份 SSH 配置，设置 PasswordAuthentication no、PermitRootLogin prohibit-password、MaxAuthTries 3，先 sshd -t 验证，再 reload。
安装并启用 fail2ban：CentOS 7 可用 yum/EPEL 方式安装，启用 sshd jail，防止爆破持续刷日志。
关闭 rpcbind：确认没有 NFS/RPC 业务后，禁用 rpcbind.socket/rpcbind.service，减少公网攻击面。
确认 80 端口 python 进程来源：当前 80 由 python 监听，建议纳入 systemd 管理或明确记录用途，避免孤儿进程。
中长期迁移：CentOS 7 老旧，建议迁移到受支持的 LTS 系统。

本报告为只读巡检，未修改 US 任何安全配置。SSH 加固、防火墙和服务禁用属于会影响远程访问/公网入口的操作，建议你明确授权后我再执行。

六、关键证据摘录

US 186.241.84.19
OS=CentOS Linux 7 (Core)
KERNEL=3.10.0-957.1.3.el7.x86_64
MEM=226/3789MB 6.0%
ROOT_DISK=3.1G/30G 11% free=27G
failed units=0

sshd -T:
passwordauthentication yes
permitrootlogin yes
maxauthtries 6
pubkeyauthentication yes

secure_failed_password_count=22885
fail2ban=not-found
rpcbind=active enabled
komari-agent=active enabled
Docker containers: us-nginx-camouflage, edge-proxy