我想阻止root用户直接从RHEL框的本地控制台login,但是允许从sshlogin。 可以这样做吗?
谢谢…
是。
~/root/.ssh/authorized_keys 。 /etc/ssh/sshd.conf – 将PermitRootLogin设置为without-password x等replace/ etc / shadow中的密码字段) 笔记:
备用configuration也是可能的,其中监听根login的单独sshd只在
localhost可用,并且您使用代理转发以root身份login。 我知道至less有一家拥有这种configuration的大型公司,并且增加了一层安全性(和复杂性)。
禁用本地rootlogin是不好的主意。 在系统崩溃的情况下访问可能是必要的。 根据NSA RHEL 5安全指南 ,2.3.1.1限制根login到系统控制台 :
直接根login只能用于紧急情况。 非正常情况下,pipe理员应该通过一个独特的非特权帐户访问系统,并使用su或sudo来执行特权命令。 不鼓励pipe理员访问root帐户直接确保在具有多个pipe理员的组织中进行审计跟踪。 locking根连接的通道可以直接减less对根帐户进行密码猜测的端口号。
(……)
根也应该禁止通过networking协议连接。
从本地控制台禁用根login可以通过从/ etc / securetty中删除行tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 tty9 tty10 tty11来完成。