Linux登录安全很重要,如以前我的文章所讲,密钥登录是一种很安全的远程连接方式,但是仅仅只有密钥登录只能保证你的账户登录时很安全,不能保证其他账户,包括root账户的安全;如果不及时做防范,系统照样有被暴力破解或者利用漏洞侵入获权的风险。
黑客无处不在
其实实现起来很简单,通过ssh服务的二个配置参数就可以实现;在配置前保证你的远程用户是通过密钥认证登录,且有完整的sudo到root权限,避免配置生效后发生无法获取root权限的情况。
使用root配置/etc/ssh/sshd_config文件:
PasswordAuthentication no # 禁用密码登录
PermitRootLogin no # 禁止root用户登录,如果你想让root用户只能远程密钥登录,此处可配置为without-password
当然,如果要做更多的用户安全策略,还有许多工作可做。例如sudo权限精确化(严格控制),增加用户操作审计日志等,如果有堡垒机那就更好了。
一、创建root权限用户步骤
1、创建用户yanmin
A、adduser yanmin
//创建用户
[root@iZrj98p4hhys0y9fdxmcy4Z ~]# adduser yanmin
B、设置用户密码
//输入两次密码
[root@iZrj98p4hhys0y9fdxmcy4Z ~]# passwd yanmin
Changing password for user yanmin.
New password:
Retype new password:
passwd: all authentication tokens updated successfully
2、赋予yanmin用户root权限
A、第一种方案:修改/etc/sudoers文件,找到下面一行,在root下面添加一行
# User privilege specification
root ALL=(ALL:ALL) ALL
yanmin ALL=(ALL:ALL) ALL
wq! 保存
ps:这里说下你可以sudoers添加下面四行中任意一条
youuser ALL=(ALL) ALL
%youuser ALL=(ALL) ALL
youuser ALL=(ALL) NOPASSWD: ALL
%youuser ALL=(ALL) NOPASSWD: ALL
B、第二种方案:修改/etc/passwd文件,找到如下行,把用户ID修改为0,如下:
yanmin:x:0:1000:yanmin,,,:/home/yanmin:/bin/bash
1
3、测试用户yanmin登录
ssh yanmin@xx.xx.xx.xx
1
4、如果想免密码登陆,请参考
Linux使用公钥ssh登录 建议用第一种 最后重启服务