【实验】RHEL9 禁止 ROOT用户远程登录

Inkcup

RHEL9 要禁止 ROOT用户远程登录，需要把 /etc/ssh/sshd_config.d/01-permitrootlogin.conf 中 PermitRootLogin yes 注释掉

（注意： /etc/ssh/sshd_config中若有该命令也需注释掉，只要存在 PermitRootLogin yes ，就无法阻止用户使用ssh远程登录ROOT用户。 ）


那么，这和在/etc/ssh/sshd_config中修改参数#PermitRootLogin prohibit-password有什么区别？

实验记录：（RHEL9环境）
    ①打开CRT，用超级用户远程登入虚拟机，执行命令:
vim /etc/ssh/sshd_config
···

PermitRootLogin no

···

systemctl restart --now sshd.service


    ②su 登入普通用户，尝试用ssh登入root用户，登入成功。

    ③退出普通用户，注释掉之前的操作，

    然后执行命令：vim /etc/ssh/sshd_config.d/01-permitrootlogin.conf

···
PermitRootLogin no
···

或者注释掉也可以。


systemctl restart --now sshd.service
    ④su登入普通用户，尝试用ssh登入超级用户，登入失败。


    ⑤尝试在01文件中禁用但在sshd_config文件中允许的情况：在上方操作基础上，
vim /etc/ssh/sshd_config
···

PermitRootLogin yes

···

systemctl restart --now sshd.service


    ⑥su登入普通用户，尝试用ssh登入超级用户，登入成功。

由此得出结论：在/etc/ssh/sshd_config或/etc/ssh/sshd_config.d/01-permitrootlogin.conf文件中，存在PermitRootLogin yes，即允许用户ssh登录超级用户；若需禁止用户使用ssh远程登录超级用户，则需消除两个文件中的 PermitRootLogin yes（#或改yes为no均可）。

郑全

/etc/ssh/sshd_config.d/ 下面的文件优先级要高。
要禁止ROOT登录，是在 /etc/ssh/sshd_config.d/01-permitrootlogin.conf 中，建议加 PermitRootLogin =no ，而不是加注释。