1. 创建一个新的账户
创建用户
useradd new-user-name
设置相应的密码
passwd new-user-name
然后会输入两次给new-user-name账户设置的密码
2.给新账户sudo权限
vim /etc/sudoers
找到:
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
然后在root下面加上一行:
new-user-name ALL=(ALL) ALL
注意这一步不是必须的,如果你不希望创建的小号也有root权限,就不要修改sudoers文件。
如果给这个账户sudoers中添加了ALL权限,则这个账户和root几乎平等了,这个账户可以创建新的用户。
(需要通过 sudo su命令切换到该账号的root权限),并可以对sudoers文件进行修改进一步添加具有root权限的用户。
但是测试发现该账号执行删库命令:rm -rf /* 会遭到permission denied。
下面的图片是我使用一个由root账号创建的管理员账号youheng(修改了sudoers文件赋予root权限)去创建一个新的账号youhengchan,没有账号youhengchan root权限,所以在youhengchan账号尝试sudo su命令时,被系统识别为危险行为并
对管理员用户进行了广播。
3. 禁止root账户ssh登录
vi /etc/ssh/sshd_config
将 #PermitRootLogin yes
前的#去掉并将yes改为no
4.重启sshd服务
service sshd restart
5. 登录后获取root权限
su root (切换到root账号,这里需要输入系统root账号的密码)
进入获得root权限后再回到之前的账户使用 exit 命令:
如果之前执行了第二步,给新的账号root权限,也可以激活新账号的root而不切换到root账号:
sudo su (激活具有root权限的账号的root能力,这里需要重复输入该账号的密码)
再次尝试使用root账号ssh登录,拦截成功: