禁止 root 用户直接远程登录是 Linux 服务器安全基线的重要要求,核心在于修改 SSH 配置文件并将日常管理权限移交给普通 sudo 用户。此操作适用于大多数通过 SSH 管理的 Linux 服务器,但配置失误可能导致无法远程连接,请务必按步骤谨慎操作。
核心结论:在禁止 root 登录前,必须先创建好具备 sudo 权限的普通用户,并保留一个已登录的 root 会话作为补救通道。
- 前置检查:确认当前有可用的 root 会话或控制台(VNC/物理机)权限,防止配置失误导致失联。
- 操作顺序:创建新用户并授权 sudo -> 修改 SSH 配置 -> 语法检查 -> 重启服务 -> 验证新用户。
- 安全底线:重启 SSH 服务前必须执行
sshd -t检查配置语法,确保服务能正常启动。
创建具备 sudo 权限的管理员用户
在保持 root 登录的会话中,创建新用户并设置密码。建议使用 useradd 或 adduser 命令,并创建家目录。
# 1. 创建新用户 (以 admin 为例) 并设置密码
useradd -m admin
passwd admin不同发行版的管理员组名称不同,需将用户加入对应的组。Ubuntu/Debian 系统通常使用 sudo 组,CentOS/RHEL 系统通常使用 wheel 组。
# Ubuntu/Debian
usermod -aG sudo admin# CentOS/RHEL
usermod -aG wheel admin若系统未默认配置组权限,可通过 visudo 命令安全地编辑 /etc/sudoers 文件,添加以下规则确保提权生效:
admin ALL=(ALL) ALL修改 SSH 配置与安全检查
编辑 /etc/ssh/sshd_config 文件,找到 PermitRootLogin 配置项。如果该行被注释(前有 #),去掉注释符号,并将值改为 no。
vim /etc/ssh/sshd_config
# 修改或添加以下行
PermitRootLogin no关键步骤:配置修改后,严禁直接重启服务。必须先执行语法检查,防止因配置错误导致 SSH 服务无法启动。
# 检查配置文件语法,无输出则表示正确
sshd -t若 sshd -t 报错,请根据提示修正配置,直到检查通过。确认无误后,再重启 SSH 服务。
# 重启服务
systemctl restart sshd
# 或
service sshd restart验证登录与权限
1. 测试 root 登录拒绝:新开一个终端窗口(不要关闭旧窗口),尝试 ssh root@服务器 IP。如果配置成功,应提示 Permission denied 或连接被拒绝。
2. 测试新用户登录:使用新用户 ssh admin@服务器 IP 登录,成功后执行 sudo whoami。如果输出 root,说明 sudo 权限配置正确。
3. 检查服务状态:执行 systemctl status sshd 确认服务运行正常,无报错。
紧急恢复与常见故障
- 配置错误导致失联:若重启 SSH 后无法连接,且无其他会话,必须通过云厂商控制台(VNC/串行控制台)或物理终端登录。登录后可回滚
/etc/ssh/sshd_config配置并重启服务。 - sudo 权限不足:若新用户登录后执行 sudo 提示不在 sudoers 文件中,请检查是否加入了正确的组(wheel/sudo),或使用
visudo显式添加用户规则。 - 配置冲突:
sshd_config中可能存在多个PermitRootLogin项,SSH 服务通常采用第一个匹配项,需清理多余配置。 - 密钥登录例外:若设置
PermitRootLogin prohibit-password,仍允许密钥登录 root,需确认是否符合安全预期,建议明确设置为no。
参考资料
- OpenSSH Portable Documentation: sshd_config
- Ubuntu Server Guide: SSH Services
- Red Hat Enterprise Linux Documentation: Security Hardening
- 本地手册:man sshd_config, man sudoers
原文链接:https://www.zjcp.cc/ask/11360.html