当有人以root用户身份登录我的服务器时该怎么办

我有一台运行Debian 6.0且安装了logcheck的服务器。昨天，我收到此消息：

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

我不知道这是谁，我怀疑他是偶然在那儿的。

现在，我该怎么办？

我要做的第一件事是禁用ssh密码身份验证，并切换到公用/专用密钥。我还检查了authorized_keys文件，只看到了我的公钥

接下来是什么？

我怎么知道其他人在我的机器上做了什么？

我相信这是一个已经徘徊了很长时间的错误，在更高版本（6.0p1）中已修复。

通过尝试使用其他密钥从受限制的主机自己连接到系统，使用其他密钥并查看收到的消息，来进行验证很容易。

这可能是OpenSSH中的一个长期错误，仅在6.0p1中已修复。在这种情况下，您可以放心地忽略它。但是，如果您想安全起见，原始答案（假设您不受此错误影响）是：

您的ssh私钥可能已被盗用，因为某人具有用于登录到根帐户的有效私钥。有人没有从允许的IP地址登录的事实使您免于进一步的攻击。然而，这是一个重大的折衷。这表明您的工作站（或您通常使用的其他计算机）已受到威胁。

您应该将触摸的每个工作站和服务器都视为潜在的威胁。格式化并重新安装您的工作站。撤销/销毁所有现有的ssh密钥，然后重新密钥化所有内容。更改所有密码。强烈考虑擦除并重新安装您有权使用此密钥登录的所有服务器。