3.9 限制root遠程登陸

sudo su - root 命令（root可省略）

• 設置不須要密碼直接切換到root用戶下
  • 在visudo中
  • 在User_Alias HANS = hanfeng, user2, user4
  • HANS ALL=(ALL) NOPASSWD: /usr/bin/su
  • 設置完成後就可直接切換到root用戶下了

[root@hf-01 ~]# visudo  在配置環境中設置

 在## User Aliases一段末尾處的下一行設置
    User_Alias HANS = hanfeng, user2, user4
在 ## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
hanfeng ALL=(ALL)       HANFENG_CMD
user10  ALL=(ALL)       NOPASSWD: /usr/bin/ls, /usr/bin/mv, /usr/bin/cat
user2   ALL=(ALL)       NOPASSWD: /usr/bin/ls, /usr/bin/mv, /usr/bin/cat
在這裏加上一下點，而後保存退出
HANS    ALL=(ALL)       NOPASSWD: /usr/bin/su

而後執行命令
[root@hf-01 ~]# su - hanfeng
上一次登陸：四 11月  2 07:51:34 CST 2017pts/0 上
[hanfeng@hf-01 ~]$ sudo su -
上一次登陸：四 11月  2 05:38:13 CST 2017從 192.168.74.1pts/1 上
[root@hf-01 ~]# whoami
root
[root@hf-01 ~]# 登出
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]#

限制root用戶遠程登陸

• 在vi /etc/ssh/sshd_config文件中設置
  • 在/etc/ssh/sshd_config裏面搜索關鍵詞用法和less同樣，是 /關鍵詞 就會出現

[root@hf-01 ~]# vi /etc/ssh/sshd_config    在這裏搜索/Root

#LoginGraceTime 2m
PermitRootLogin no     將前面的 #號 去除並將yes改成no，表示不容許遠程登陸了
#StrictModes yes

而後保存退出，再重啓配置服務
[root@hf-01 ~]# systemctl restart sshd.service
[root@hf-01 ~]#

• 而後再去xshell鏈接，會發現密碼和祕鑰都沒法登陸
• 使用putty去登錄普通用戶，就會看到普通用戶沒法去訪問/root/目錄，可是使用sudo su - root就可切換到root用戶下使用

擴展

• sudo與su比較 http://www.apelearn.com/bbs/thread-7467-1-1.html
• sudo配置文件樣例 www.opensource.apple.com/source/sudo/sudo-16/sudo/sample.sudoers
• sudo -i 也能夠登陸到root嗎？ http://www.apelearn.com/bbs/thread-6899-1-1.html