关于Linux操作系统-OS等保要求配置-禁止root用户直接ssh登录

在等保测评中，都会去要求查看sshd配置，看是否有禁止root用户直接ssh登录，此项一般也会作为一个强制要求安全配置项

笔者这里的操作系统为Redhat 8.x 如下，对于Redhat 7.x应该也是一样的，可以自行测试

[qq-5201351@Localhost ~]$ cat /etc/redhat-release
Red Hat Enterprise Linux release 8.1 (Ootpa)

这里笔者简单说一下配置的方法，找到sshd服务的主配置文件 /etc/ssh/sshd_config 找到PermitRootLogin配置选项，需要配置为no

PermitRootLogin no 

关于PermitRootLogin选项，有如下几点说明：

1、这里的 PermitRootLogin no 仅仅指的是 ssh登录，这样对于操作系统中的普通用户是可以su - root 进行切换的

2、如果这此选项被注释掉了，或者没有这个选项，那么它的默认值就是 prohibit-password ，即禁止密码，关于这个选项的说明如下

     PermitRootLogin
             Specifies whether root can log in using ssh(1).  The argument must be yes, prohibit-password,
             forced-commands-only, or no.  The default is prohibit-password.

             If this option is set to prohibit-password (or its deprecated alias, without-password), password and key‐
             board-interactive authentication are disabled for root.

             If this option is set to forced-commands-only, root login with public key authentication will be allowed,
             but only if the command option has been specified (which may be useful for taking remote backups even if
             root login is normally not allowed).  All other authentication methods are disabled for root.

             If this option is set to no, root is not allowed to log in.

那也就是说如果不写或者注释了PermitRootLogin选项，那么root用户就不能ssh以密码的方式登录，但是，是可以使用key进行登录的

当然对于等保项目，还是强烈建议显式的配置为 PermitRootLogin no ， 如果需要使用到root，应该以其他用户进行su - root的方式登录使用

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17366221.html