可能重复:
为什么不应该允许root通过SSHlogin?
嗨,为什么不通过SSH以root身份login更安全? 由于login受到SSH保护,所以根密码在networking上不是纯文本。 同样,一旦进入了你,你必须把SU转换成root才能执行某些任务,所以root密码仍然暴露。 我怀疑我错过了这一点,但是当我search这个我只是find了build议,但没有令人信服的理由。
任何build议感激地收到。
谢谢C
两点:1)由于Root总是在那里,而且获得的收益会很高,所以最终可能会发生对根的暴力攻击。 对于其他用户,用户名必须先被猜出。 然后用户将不得不拥有权限。 制作暴力只是不值得的努力。
2.)没有人应该以root身份login,只能使用sudo来执行特权命令。 因此,根本没有理由login。
==>可能的收益,没有损失在禁用SSH上的根。
还有logging的方面。 当你sudo或sudo的时候,它会logging你的用户名,而如果你以root身份loginssh,只logging你的ip地址。 虽然通常您可以将某个IP地址与某个用户关联起来,但只要logging了用户名就可以了。
什么posipiet说,再加上:这意味着需要两组可信任的信息来获得根访问,而不仅仅是一个; root密码本身就变得毫无用处,只能和普通的用户帐号一起使用(如果su限制访问,只能和可信的用户帐号一起使用)。
那么每个人都知道“root”(用户名)就是你的盒子的pipe理员,所以通过拒绝“root”远程访问ssh到你的盒子里,你现在只需要一点点的时间让黑客进入你的盒子他们将不得不猜测你的盒子上的用户名。
以root身份,vi / etc / ssh / sshd_config
在那里find(或创build)一个读取的行
引用
#Authentication:#LoginGraceTime 120
PermitRootLogin no
#StrictModes是的
PermitRootLogin no行是重要的。 请注意,它前面没有#。
一旦你做了更改,保存文件(esc然后:wq)。
重新启动sshd(服务sshd重启)。
用这行根目录不能ssh到框中。 要成为root用户,以普通用户的身份login,然后使用su – login成为root用户。
目的是双重的:
“根”几乎完全是由于这些操作系统作为多用户系统的使用历史而在UNIX / Linux服务器pipe理领域持有近乎宗教的地位。 当你的公司,部门或大学有一个服务器时,几十个或几百个之间的所有权力都是有意义的。
现在,特别是在现代虚拟化和/或云types环境中,它几乎是一个完全退化的恐惧。 越来越多的服务器不仅是单一用户,他们是单一的应用程序,通过networking服务捆绑在一起。 这在networking集群中尤其如此,您的apache服务器是您的apache服务器,您的mysql服务器是您的mysql服务器,如果您以单用户模式运行它们并以root身份运行它们几乎没有关系。
显然有一些例外,我们还没有完全实现,但是与“root”这个词一起出现的权力光环真的适用于你的vcenter密码或者私密密钥,而不是几个应用上的posix帐号服务器。