Cómo prohibir que los usuarios root inicien sesión de forma remota

El propósito de restringir el inicio de sesión remoto como root es evidente. Aquí hay varios métodos:

Método 1:

Puedes modificar /etc/ssh /sshd_config. archivo, cambie PermitRootLogin a no y luego reinicie el servicio ssh. /etc/rc.d/sshd restart

Método 2: agregue una línea de comando de configuración en el archivo /etc/default/login:

CONSOLE = /dev/tty01

Entra en vigor inmediatamente después de la configuración, no es necesario reiniciar. En el futuro, los usuarios sólo podrán iniciar sesión como root en la consola (/dev/tty01), restringiendo así el inicio de sesión remoto como root. Sin embargo, también restringe el inicio de sesión como root para los usuarios de LAN, lo que genera muchos inconvenientes para el trabajo de mantenimiento diario del administrador. .

Método 3: 1. Para limitar el inicio de sesión remoto root, primero debe distinguir qué usuarios son usuarios remotos (es decir, si inician sesión a través de telnet a través de otro sistema Windows o sistema UNIX) y qué usuarios son usuarios de LAN. Este propósito se puede lograr mediante el siguiente programa shell.

TY=`tty | cortar -b 9-12`

WH=`dedo | cortar -b 32-79 | grep "$TY " | `

KK=` tty | cut -b 6-9`

Si [ "$KK" = "ttyp" ]

Entonces

WH=$WH

Else

WH="local"

Fi

En el programa de comando Shell anterior, WH es la dirección IP del host del usuario que inició sesión, pero si la correspondencia entre la dirección IP y el nombre de la máquina se define en el archivo /etc/hosts, entonces WH es el nombre de host del usuario que inició sesión. Suponiendo que la dirección IP del servidor terminal conectado a la LAN es: 99.57.32.18, entonces se debe agregar una línea al archivo /etc/hosts:

99.57.32.18 terminal_server

Todas las direcciones que pasan 99.57 .32.18 Cuando el servidor de terminal inicia sesión en el terminal del host, WH tiene el mismo valor, que es el nombre del servidor de terminal terminal_server.

2. En raíz. archivo de perfil, realice un procesamiento diferente según el valor de WH para limitar el inicio de sesión remoto raíz.

Trampa 1 2 3 9 15

Si [ "$WH" = "local" -o "$WH" = "terminal_server" ]

Entonces

Eco "Bienvenido..."

Else

Salir

Fi

Método 4: A veces por trabajo Convenientemente, algunas computadoras en la LAN pueden iniciar sesión como raíz. Por ejemplo, la computadora con la dirección IP 99.57.32.58 en la LAN puede iniciar sesión como raíz. Para lograr esto, se deben agregar dos puntos a la. método anterior:

1. En el archivo /etc/hosts, agregue una línea: 99.57.32.58 xmh.

2. En el segmento del programa Shell anterior, agregue el siguiente contenido:

If [ "$WH" = "local" -o "$WH" = "terminal_server" ]

Modificar a:

If [ "$WH" = "local" -o "$WH" = "terminal_server" -o "$WH" = "xmh" ]

Método 5: Después del procesamiento anterior, todavía es posible que un usuario normal inicie sesión y utilice el comando su para convertirse en usuario root, logrando así el propósito del inicio de sesión remoto root. Para evitar el inicio de sesión remoto mediante este método, es necesario restringir la ejecución del comando su por parte de los usuarios normales:

1. Cambie el propietario del comando su a root

. 2. Cambie el comando su Cambie los permisos a 700