在Linux系统中,root用户是最高级别的用户,可以对系统进行绝对的控制,因此很多管理员都不允许root用户通过SSH登录,这时候就需要修改SSH配置文件中的选项——permitrootlogin。
一、permitrootlogin是什么?
permitrootlogin是OpenSSH配置文件中的一个选项,它可以控制是否允许root用户通过SSH登录。当这个选项设置为yes时,root用户可以使用SSH登录系统,而当设置为no时,root用户不能使用SSH登录系统。
下面是实现禁止root用户登录的方法,这里以Ubuntu系统为例:
# 修改/etc/ssh/sshd_config文件 sudo vim /etc/ssh/sshd_config # 找到以下内容 #PermitRootLogin prohibit-password # 将其修改为 PermitRootLogin no # 重启SSH服务: sudo systemctl restart sshd
二、为什么不允许root用户通过SSH登录?
虽然root用户拥有最高权限,但其登录系统存在一定的安全隐患:
1、如果root密码被破解或泄露,攻击者可以轻易地获得系统的控制权,进而对系统造成严重损害。
2、登录系统的操作都需要root权限,如果管理员误操作,可能会导致系统崩溃,给正常的业务造成影响。
三、允许其他用户使用sudo命令获得root权限
禁止root用户登录系统并不意味着管理员不能使用root权限。管理员可以通过向普通用户授予sudo权限来实现root操作,而且这种方法更加安全可靠。
将用户添加到sudo组中,允许其使用sudo命令:
# 添加用户
sudo adduser {username}
# 将用户加入sudo组
sudo usermod -aG sudo {username}
然后管理员就可以使用sudo命令在普通用户的权限下完成各种操作,而不必冒着直接使用root带来的风险:
# 以root权限运行命令
sudo {command}
四、使用密钥登录系统
除了禁用root用户直接登录系统外,我们还可以通过使用密钥登录系统的方式进行加固,增加安全性。
首先我们需要在本地机器上生成公钥和私钥:
# 生成密钥对
ssh-keygen -t rsa
# 将公钥复制到server机器上的authorized_keys文件中
ssh-copy-id {username}@{server_ip}
然后我们就可以使用密钥登录系统了:
# 使用私钥登录
ssh -i {private_key_file} {username}@{server_ip}
五、总结
permitrootlogin no选项可以有效增加SSH服务的安全性,禁止root用户直接登录系统,从而避免了一些潜在的风险。同时,使用sudo命令和密钥登录方式来取代root登录,也更加安全可靠。
