Linux禁用Root远程登录方法详解

本文详细介绍了在Linux系统中禁止root用户远程登录的五种安全加固方法，涵盖从修改SSH配置参数、限制允许登录的用户范围、强制使用密钥认证、创建并配置普通用户免密提权，到重启服务及验证生效的完整操作流程，旨在帮助运维人员快速消除因root远程直连带来的高危安全隐患，兼顾安全性与日常管理效率。

如果您在Linux系统中运行SSH服务，但希望阻止root用户通过网络直接登录服务器，则可能是由于默认配置允许root远程访问，带来严重安全风险。以下是禁止Root用户远程登录的多种操作方法：

一、修改sshd_config中PermitRootLogin参数

该方法通过禁用SSH服务对root用户的直接认证入口，是最基础且广泛适用的安全控制手段。核心在于将PermitRootLogin设为no，使SSH守护进程拒绝任何以root身份发起的连接请求。

1、使用具有root权限的账户登录系统，执行命令编辑SSH主配置文件：
vim /etc/ssh/sshd_config

2、在文件中定位到PermitRootLogin所在行（可输入/PermitRootLogin后按回车搜索）

3、若该行被注释（以#开头），先删除#符号；再将值修改为no，确保行内容为：
PermitRootLogin no

4、检查是否存在重复的PermitRootLogin配置项，保留唯一一行并确认其未被注释

5、保存文件并退出编辑器

二、结合AllowUsers限制可登录用户范围

该方法在禁用root登录的基础上，进一步显式声明仅允许特定普通用户通过SSH接入，形成双重访问控制层，有效缩小攻击面。

1、在编辑/etc/ssh/sshd_config文件时，在PermitRootLogin no下方新增AllowUsers行

2、指定一个或多个已创建的普通用户名，多个用户之间用空格分隔，例如：
AllowUsers admin user1

3、确保所列用户已存在且密码或密钥认证已配置完成

4、保存配置文件

三、关闭密码认证并强制使用密钥登录

该方法不单独禁用root，而是通过移除密码验证通道，使包括root在内的所有用户无法凭密码远程登录，仅支持预置公钥的用户接入，大幅提升抗暴力破解能力。

1、编辑/etc/ssh/sshd_config文件

2、找到PasswordAuthentication行，将其值改为no：
PasswordAuthentication no

3、找到PubkeyAuthentication行，确保其值为yes：
PubkeyAuthentication yes

4、确认AuthorizedKeysFile配置指向正确路径（默认为.ssh/authorized_keys）

5、为待登录的普通用户预先部署SSH公钥至其家目录下的.ssh/authorized_keys文件中

四、新建普通用户并配置免密切换权限

该方法在禁用root远程登录后，保障运维人员仍能高效获取root权限，避免因频繁输入密码导致操作中断，同时维持最小权限原则。

1、创建新普通用户，例如test：
useradd -m -s /bin/bash test

2、为该用户设置密码：
passwd test

3、将用户加入wheel组（CentOS/RHEL）或sudo组（Ubuntu/Debian）：
usermod -aG wheel test

4、编辑sudoers文件：
visudo

5、取消以下行的注释（或添加该行）：
%wheel ALL=(ALL) NOPASSWD: ALL

6、保存退出，此时test用户可通过sudo su -直接切换至root而无需再次输入密码

五、重启SSH服务并验证配置生效

所有配置变更必须通过重启SSH守护进程才能加载，否则修改将不产生实际效果。重启前应保持当前会话活跃，以防配置错误导致完全失联。

1、根据系统类型执行对应重启命令：
systemctl restart sshd（适用于CentOS 7+/Ubuntu 16.04+）

2、若系统为旧版（如CentOS 6），则执行：
service sshd restart

3、新开一个终端窗口，尝试以root身份连接：
ssh root@服务器IP

4、确认返回错误信息为Permission denied, please try again.或连接被拒绝

5、使用已授权的普通用户登录，验证是否可正常接入并执行sudo命令

好了，本文到此结束，带大家了解了《Linux禁用Root远程登录方法详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！