Você deve criar contas administrativas locais que possam ser usadas como Secure Shell (SSH) e que sejam membros do grupo wheel secundário, ou ambos, antes de remover o acesso SSH raiz.

Antes de desativar o acesso root direto, teste se os administradores autorizados podem acessar o SSH usando AllowGroups e se podem usar o grupo wheel e o comando su para fazer login como root.

Procedimento

  1. Faça login como root e execute os seguintes comandos. 
    # useradd username -d /home/vropsuser -g users -G wheel -m 
# passwd username

    Wheel é o grupo especificado em AllowGroups para acesso SSH. Para adicionar vários grupos secundários, use -G wheel,sshd.

  2. Alterne para o usuário e forneça uma nova senha para garantir a verificação da complexidade da senha. 
    # su – username
username@hostname:~>passwd
    Se a complexidade da senha for atendida, a senha será atualizada. Se a complexidade da senha não for atendida, a senha será revertida para a senha original e você deverá executar novamente o comando password.

    Depois de criar as contas de login para permitir o acesso remoto do SSH e usar o comando su para fazer login como root usando o acesso de roda, você poderá remover a conta root do login direto do SSH.

  3. Para remover o login direto no SSH, modifique o arquivo /etc/ssh/sshd_config substituindo (#)PermitRootLogin yes por PermitRootLogin no.

O que Fazer Depois

Desative logins diretos como root. Por padrão, os dispositivos protegidos permitem que o login direto seja feito root por meio do console. Depois de criar contas administrativas para não repúdio e testá-las para acesso wheel (su - root), desative os logins root diretos editando o arquivo /etc/securetty como root e substituindo a entrada tty1 por console .