禁止Root用户远程登录的五种方法:一、修改sshd_config中PermitRootLogin为no;二、结合AllowUsers限定可登录用户;三、关闭PasswordAuthentication并启用PubkeyAuthentication;四、新建普通用户并配置sudo免密提权;五、重启sshd服务并验证生效。
如果您在Linux系统中运行SSH服务,但希望阻止root用户通过网络直接登录服务器,则可能是由于默认配置允许root远程访问,带来严重安全风险。以下是禁止Root用户远程登录的多种操作方法:
一、修改sshd_config中PermitRootLogin参数
该方法通过禁用SSH服务对root用户的直接认证入口,是最基础且广泛适用的安全控制手段。核心在于将PermitRootLogin设为no,使SSH守护进程拒绝任何以root身份发起的连接请求。
1、使用具有root权限的账户登录系统,执行命令编辑SSH主配置文件:
vim /etc/ssh/sshd_config
2、在文件中定位到PermitRootLogin所在行(可输入/PermitRootLogin后按回车搜索)
3、若该行被注释(以#开头),先删除#符号;再将值修改为no,确保行内容为:
PermitRootLogin no
4、检查是否存在重复的PermitRootLogin配置项,保留唯一一行并确认其未被注释
5、保存文件并退出编辑器
二、结合AllowUsers限制可登录用户范围
该方法在禁用root登录的基础上,进一步显式声明仅允许特定普通用户通过SSH接入,形成双重访问控制层,有效缩小攻击面。
1、在编辑/etc/ssh/sshd_config文件时,在PermitRootLogin no下方新增AllowUsers行
2、指定一个或多个已创建的普通用户名,多个用户之间用空格分隔,例如:
AllowUsers admin user1
3、确保所列用户已存在且密码或密钥认证已配置完成
4、保存配置文件
三、关闭密码认证并强制使用密钥登录
该方法不单独禁用root,而是通过移除密码验证通道,使包括root在内的所有用户无法凭密码远程登录,仅支持预置公钥的用户接入,大幅提升抗暴力破解能力。
1、编辑/etc/ssh/sshd_config文件
2、找到PasswordAuthentication行,将其值改为no:
PasswordAuthentication no
3、找到PubkeyAuthentication行,确保其值为yes:
PubkeyAuthentication 
yes
4、确认AuthorizedKeysFile配置指向正确路径(默认为.ssh/authorized_keys)
5、为待登录的普通用户预先部署SSH公钥至其家目录下的.ssh/authorized_keys文件中
四、新建普通用户并配置免密切换权限
该方法在禁用root远程登录后,保障运维人员仍能高效获取root权限,避免因频繁输入密码导致操作中断,同时维持最小权限原则。
1、创建新普通用户,例如test:
useradd -m -s /bin/bash test
2、为该用户设置密码:
passwd test
3、将用户加入wheel组(CentOS/RHEL)或sudo组(Ubuntu/Debian):
usermod -aG wheel test
4、编辑sudoers文件:
visudo
5、取消以下行的注释(或添加该行):
%wheel ALL=(ALL) NOPASSWD: ALL
6、保存退出,此时test用户可通过sudo su -直接切换至root而无需再次输入密码
五、重启SSH服务并验证配置生效
所有配置变更必须通过重启SSH守护进程才能加载,否则修改将不产生实际效果。重启前应保持当前会话活跃,以防配置错误导致完全失联。
1、根据系统类型执行对应重启命令:
systemctl restart sshd(适用于CentOS 7+/Ubuntu 16.04+)
2、若系统为旧版(如CentOS 6),则执行:
service sshd restart
3、新开一个终端窗口,尝试以root身份连接:
ssh root@服务器IP
4、确认返回错误信息为Permission denied, please try again.或连接被拒绝
5、使用已授权的普通用户登录,验证是否可正常接入并执行sudo命令
