Почему вы хотели бы отключить вход по SSH для пользователя root? Потому что на каждом сервере Linux есть пользователь root. Если разрешен вход по SSH для пользователя root, злоумышленник может попытаться подобрать пароль для root методом грубой силы. Но если вы создадите другого пользователя и отключите вход по SSH для root, злоумышленник не узнает ваше имя пользователя, поэтому атака методом грубой силы будет бесполезной. Новосозданный пользователь может использовать sudo или su для выполнения администрирования системы.
В данной статье я покажу вам, как создать учетную запись пользователя, которая может использовать su или sudo, а затем как отключить вход по SSH для пользователя root в CentOS/Red Hat.
Создание новой учетной записи пользователя
- Создайте учетную запись пользователя с помощью следующей команды. В этом примере я буду использовать имя пользователя newuser. Команда adduser создаст пользователя, начальную группу и его домашний каталог.
adduser newuser- Установите пароль для пользователя. Вам нужно ввести пароль дважды.
passwd newuser[newuser@centos ~]$ su -
Password:
[newuser@centos ~]$ whoami
root
Если по каким-то причинам вы не можете использовать команду su, то добавьте своего пользователя в группу wheel.
usermod -G wheel newuser
- Но новый пользователь не может использовать команду sudo. Если вы хотите, чтобы ваша учетная запись пользователя могла использовать команду sudo, выполните следующие команды от имени root:
yum install sudo
echo 'newuser ALL=(ALL) ALL' >> /etc/sudoers
- Теперь проверьте, может ли учетная запись пользователя использовать команду sudo.
Отключение входа по SSH для пользователя root Теперь, когда у вас есть отдельная учетная запись пользователя, которая может использовать su или sudo для получения прав root, пришло время отключить вход по SSH для пользователя root. Сначала отредактируйте файл /etc/ssh/sshd_config с помощью вашего любимого текстового редактора. Я предпочитаю использовать редактор vi.
vi /etc/ssh/sshd_config
Найдите следующую строку:
#PermitRootLogin yes
Измените ее на:
PermitRootLogin no
Сохраните файл. Теперь важно проверить, что ваша новая учетная запись пользователя может войти по SSH, потому что мы собираемся перезапустить службу SSH, и после этого вы больше не сможете войти под пользователем root по SSH.
systemctl restart ssh
Теперь по SSH может входить только новая учетная запись пользователя. Если вы попытаетесь войти по SSH под пользователем root, даже если вы введете пароль правильно, вы все равно получите сообщение об отказе в доступе.