Linux の root ユーザーはスーパー管理者であり、root ユーザーのパスワードを総当たり攻撃することができますが、これは非常に安全ではありません。仕事では通常、root ユーザーがリモートから直接ログインすることを禁止し、1 人以上の一般ユーザーのみを開きます。必要に応じて、root ユーザーの場合、su または sudo を使用して root に切り替え、root 権限でコマンドを実行できます。
1. root はリモートでログインできませんが、すべてのユーザーは root に切り替えることができます
まず設定ファイルを開きます。
vim /etc/ssh/sshd_config
この行は、root ユーザーのログインが許可されていることを意味するため、「no」に変更し、root ユーザーは直接ログインできなくなります。
構成ファイルを保存して終了した後、sshd サービスを再起動します。
systemctl restart sshd.service
接続を再確立した後、root ユーザーではログインできなくなっていることがわかりました。通常のユーザーでのみログインして切り替えることができます。
2. root はリモートでログインできませんが、特定のユーザーのみが root に切り替えることができます
通常、一般ユーザーは「su -」コマンドを実行することでrootでログインできます。システムのセキュリティを強化するには、管理者グループを作成し、このグループ内のユーザーのみに「su -」コマンドの実行を許可して root としてログインし、他のグループのユーザーには正しいパスワードの入力を許可する必要があります。 「su -」を実行した場合でも、root としてログインすることはできません。Unix および Linux では、このグループは通常「wheel」という名前になります。
1. ユーザーを追加し、このユーザーを Wheel グループに追加します
adduser admin
passwd admin
usermod -G wheel admin
2. /etc/pam.d/su を変更します。
auth required pam_wheel.so use_uid 去掉这行注释
3 /etc/login.defs を変更します
vim /etc/login.defs
ファイルの最後に行を追加します
SU_WHEEL_ONLY yes
3. root と同じ権限を持つユーザーを追加します
- 追加ユーザー管理者
- passwd admin (パスワードを変更します。パスワードはパスワードの複雑さに従っている必要があります)
/etc/sudoers ファイルを変更し、次の行を見つけて、次のように root の下に行を追加します。
vim /etc/sudoers
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
admin ALL=(ALL) ALL
这个文件只读是一种保护机制,如果你使用vi编辑器的话,只要保存时使用:wq!就可以保存了。 或者使用visudo命令来进入sudoers文件的编辑,就可以正常保存
4 番目に、ssh は IP とユーザーのログインを制限します。
1. sshd 制限を構成する
ssh ログインを許可する IP またはネットワーク セグメントを /etc/hosts.allow に追加します。
sshd:192.168.1.2:allow #表示一个ip
sshd:192.168.1.0/24:allow #表示一段ip
/etc/hosts.deny に ssh ログインを許可しない IP を追加します。
sshd:ALL #ALL表示除了上面允许的,其他的ip 都拒绝登陆ssh
2. iptables ファイアウォール制限を使用する
iptables -A INPUT -p tcp -s 192.168.1.2 --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
———————————————
著作権に関する声明: この記事は CSDN ブロガー「Yiliang Cool」のオリジナル記事であり、CC 4.0 BY-SA 著作権契約に従っており、オリジナルのソースリンクを添付してください。この文。
元のリンク: https://blog.csdn.net/annita2019/article/details/106233955/