Cấm truy cập ssh bằng tài khoản root

2 năm trước

Ngày nay, mọi người đều biết rằng các hệ thống Linux đi kèm với quyền truy cập người dùng root và theo mặc định các quyền truy cập root được kích hoạt public. Điều này là không an toàn cho server của bạn. Bởi vì bất kỳ hacker nào cũng có thể cố gắng để brute force password của bạn và truy cập vào hệ thống.

Vì vậy, tốt hơn hãy tập thói quen để có một tài khoản mà bạn thường xuyên sử dụng và sau đó chuyển sang người dùng root bằng cách sử dụng lệnh 'su -' khi cần thiết. Trước khi bắt đầu, hãy chắc chắn rằng bạn có một tài khoản người dùng thường xuyên và với quền su hoặc sudo truy cập root.

 SSH Root Login

Để vô hiệu hóa đăng nhập root, mở tập tin cấu hình ssh /etc/ssh/sshd_config

# Vi / etc / ssh / sshd_config
Tìm kiếm cho các dòng sau đây trong tập tin.

#PermitRootLogin no
Loại bỏ các '#' từ đầu dòng.

PermitRootLogin no

Tiếp theo, chúng ta cần phải khởi động lại dịch vụ SSH daemon.

# /etc/init.d/sshd restart
Bây giờ cố gắng để đăng nhập với người dùng root, bạn sẽ nhận được lỗi "Access Denied".

login as: root
Access denied
root@172.31.41.51's password:

Vì vậy, từ nay trở đi bạn đăng nhập như người dùng bình thường và sau đó sử dụng lệnh 'su' để chuyển sang người dùng root.

login as: tecmint
Access denied
tecmint@172.16.25.126's password:
Last login: Tue Oct 16 17:37:56 2012 from 172.16.25.125
[tecmint@tecmint ~]$ su -
Password:
[root@tecmint ~]#

Mở SSH Root Login
Để cho phép đăng nhập gốc ssh, mở các tập tin /etc/ssh/sshd_config.

# vi /etc/ssh/sshd_config

Tìm kiếm cho các dòng sau và đặt '#' ở đầu và lưu các tập tin.
# PermitRootLogin no

Restart lại dịch vụ ssh.

# /etc/init.d/sshd restart

Bây giờ thử truy cập với tài khoản root.

login as: root
Access denied
root@172.16.25.126's password:
Last login: Tue Nov 20 16:51:41 2012 from 172.16.25.125
[root@tecmint ~]#

Limit SSH User Logins

Nếu bạn có số lượng lớn các tài khoản người dùng trên hệ thống, bạn cần mở ssh cho những người dùng cần thiết. Mở file /etc/ssh/sshd_config.
# vi /etc/ssh/sshd_config
Thêm một dòng AllowUsers ở dưới cùng của tập tin với khoảng tr tách biệt bởi danh sách các username. Ví dụ, người dùng tecmint và Sheena cả hai đều có quyền truy cập vào ssh từ xa.
AllowUsers tecmint sheena

Bây giờ restart lại ssh để có hiệu lực