最直接的答案是修改/etc/ssh/sshd_config文件中的PermitRootLogin为yes并重启sshd服务,但此举风险极高,易遭暴力破解且不利于审计和权限控制,强烈建议改用普通用户配合sudo、SSH密钥认证、限制访问IP等安全措施来替代。
如果你问我Linux怎么开启root远程登录,最直接的答案就是修改SSH服务器的配置文件,通常是
/etc/ssh/sshd_config
,找到
PermitRootLogin
这一项,把它从默认的
prohibit-password
或者
no
改成
yes
,然后重启SSH服务就行了。不过,我得先提醒一句,这操作,风险可不小,一般情况下我是不推荐这么做的。
修改SSH配置文件,让root用户能够远程登录,这事儿说起来简单,就那么几步。
你需要做的就是用你喜欢的文本编辑器(比如
vi
或
nano
)打开SSH服务的配置文件:
sudo vi /etc/ssh/sshd_config
打开文件后,你得仔细找找
PermitRootLogin
这一行。通常情况下,它可能被注释掉了(前面有个
#
),或者被设置成了
prohibit-password
、
without-password
甚至
no
。
找到它之后,你需要做的是:
如果它被注释了,就把前面的
#
去掉。把它后面的值改成
yes
。
改完之后,它看起来应该像这样:
PermitRootLogin yes
我个人经验是,改完配置文件,最容易忘记的一步就是重启SSH服务。不重启的话,你的修改是不会生效的。所以,保存文件并退出编辑器后,务必执行以下命令来重启SSH服务:
sudo systemctl restart sshd# 或者对于一些旧系统sudo service sshd restart
重启之后,理论上你就可以尝试用root用户远程登录了。但说实话,每次我这么操作,心里总有点打鼓,总觉得好像打开了一扇不该开的门。
为什么说直接用root远程登录是个坏主意?
这问题问得好,也是我每次谈到root远程登录时,最想强调的一点。为什么不推荐?主要就是出于安全考虑,而且是那种很现实、很紧迫的安全问题。
你想想看,root用户在Linux系统里,那可是拥有最高权限的“上帝”账户,能做任何事,包括格式化硬盘、删除关键系统文件等等。如果这个账户可以直接从外部网络访问,那它就成了黑客们最想攻破的目标。
首先,暴力破解攻击。互联网上到处都是扫描器,它们会不停地尝试连接各种服务器的SSH端口(默认是22),然后用常见的用户名和密码组合进行暴力破解。root作为最常见的特权用户名,自然是它们的重点关注对象。一旦密码不够强,或者你用了弱密码,被攻破只是时间问题。我记得有一次,为了图方便,直接开了root登录,结果没两天就发现日志里一堆IP在尝试暴力破解。那之后我再也不敢掉以轻心了。
其次,审计困难。当多个管理员都用root账户登录时,你很难追踪到底是谁做了什么操作。一旦系统出了问题,或者需要回溯某个操作的责任人,这就成了一笔糊涂账。而如果每个人都用自己的普通账户登录,再通过
sudo
提权,那么所有的操作都会被记录到个人账户名下,审计起来就清晰多了。
易森网络企业版
如果您是新用户,请直接将本程序的所有文件上传在任一文件夹下,Rewrite 目录下放置了伪静态规则和筛选器,可将规则添加进IIS,即可正常使用,不用进行任何设置;(可修改图片等)默认的管理员用户名、密码和验证码都是:yeesen系统默认关闭,请上传后登陆后台点击“核心管理”里操作如下:进入“配置管理”中的&ld
0 查看详情
再者,权限过大。即使是合法用户,直接用root登录也意味着每次操作都处于最高权限状态。这就增加了误操作的风险。比如,你本来只想删除某个用户目录下的文件,结果一个不小心,多敲了一个斜杠,把整个系统都删了,这可不是开玩笑的。通过
sudo
按需提权,可以有效限制这种风险。
所以,从我的经验来看,直接用root远程登录,就像把家门钥匙直接挂在门外,还告诉所有人这是主卧的钥匙一样,风险太高了。
那么,有没有更安全的替代方案呢?
当然有,而且这些方案都是业界推荐的最佳实践,我个人也是强烈建议大家采纳的。核心思想就是“最小权限原则”和“多层防御”。
1. 创建普通用户并使用
sudo
提权:这是最基本也是最重要的替代方案。你为每个需要管理服务器的人都创建一个独立的普通用户账户。这些账户只有有限的权限,不能直接执行系统级操作。当他们需要执行需要root权限的命令时,就使用
sudo
命令。比如,你有一个用户叫
adminuser
,他想重启SSH服务,他会输入:
sudo systemctl restart sshd
系统会要求他输入自己的密码,验证通过后,这条命令就会以root的权限执行。这样一来,每个管理员的操作都有迹可循,而且他们的日常操作都在低权限环境下,大大降低了误操作的风险。
2. 使用SSH密钥认证而非密码:密码再复杂,理论上都有被暴力破解的可能。而SSH密钥认证则要安全得多。它通过一对密钥(公钥和私钥)来验证身份。你的公钥放在服务器上,私钥保存在你的本地电脑上,并且通常受密码保护。设置方法大致是:
在本地生成SSH密钥对:
ssh-keygen
将公钥(
~/.ssh/id_rsa.pub
)复制到服务器上你普通用户的
~/.ssh/authorized_keys
文件中。在
/etc/ssh/sshd_config
中禁用密码认证:
PasswordAuthentication no
。这样,没有你的私钥,即使知道你的用户名,也无法登录服务器。这就像你家门换成了指纹锁,钥匙(私钥)只有你自己有,而且还加了密码(私钥的密码)。
3. 限制SSH访问:你可以在SSH配置文件中,通过
AllowUsers
或
AllowGroups
指令,明确指定哪些用户或哪些用户组可以登录SSH。例如,只允许
adminuser
登录:
AllowUsers adminuser
这能有效阻止未经授权的用户尝试登录。
4. 更改默认SSH端口:虽然这不是决定性的安全措施,但将SSH默认的22端口更改为其他不常用的端口(例如2222),可以有效减少自动化扫描器的骚扰。这就像你把家门从主干道移到了小巷里,虽然不是完全隐蔽,但至少能减少一些不必要的关注。
这些方案结合起来,能构建一个相当健壮的远程管理环境,远比直接开root登录要安全得多。
如果我非要启用root远程登录,有没有办法让它“不那么不安全”?
我明白,有时候出于各种原因,比如自动化脚本、特定的旧系统兼容性,或者就是图个方便,你可能确实需要启用root远程登录。既然非要这么做,那我们至少可以采取一些措施,让它变得“不那么不安全”,也就是进行一些加固。但请记住,这只是降低风险,并不是消除风险。
1. 必须使用SSH密钥认证,并禁用密码认证:这是重中之重。如果root必须远程登录,那么绝对不能使用密码认证。密码总有被猜到、被破解的风险。你必须为root用户生成SSH密钥对,并将公钥放到root用户的
~/.ssh/authorized_keys
文件中。在
/etc/ssh/sshd_config
中,除了
PermitRootLogin yes
之外,你还必须设置:
PasswordAuthentication no
这样,即使你的root密码泄露了,没有私钥,也无法登录。私钥本身也应该有强密码保护。
2. 限制IP访问:如果你的root远程登录只用于特定的、已知的IP地址,那么你可以在SSH配置文件中,使用
AllowUsers
指令结合IP地址,或者更灵活地使用防火墙规则。例如,只允许特定IP(192.168.1.100)的root用户登录:
AllowUsers root@192.168.1.100
这比简单的
PermitRootLogin yes
要安全得多,因为它大大缩小了攻击面。
3. 使用
fail2ban
等入侵检测工具:即使你禁用了密码认证,仍然会有大量的自动化工具尝试连接。
fail2ban
可以监控你的SSH日志,如果发现有IP地址在短时间内多次尝试登录失败,它就会自动将这个IP地址加入防火墙黑名单,在一段时间内阻止其访问。这能有效减轻暴力破解和扫描的压力。
4. 更改默认SSH端口:前面也提到了,把SSH端口从22改成一个不常用的端口,能减少很多自动化的骚扰。虽然这不是安全措施的“核心”,但能让你少操很多心。
5. 保持系统和SSH服务更新:任何软件都可能存在漏洞。定期更新你的Linux系统和SSH服务,可以确保你使用的是最新、最安全的版本,修补已知的安全漏洞。
坦白讲,即使做了这些,启用root远程登录仍然是一个需要谨慎对待的行为。我个人觉得,如果不是绝对必要,或者你对安全加固有足够的信心和经验,最好还是坚持使用普通用户+
sudo
的模式。安全,很多时候就是一种权衡,而对于root远程登录,我认为不值得冒那个险。
以上就是Linux如何启用root用户远程登录的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/803848.html
微信扫一扫 
支付宝扫一扫 
