您必須建立本機管理員帳戶,使其可使用安全殼層 (SSH) 並是次要 wheel 群組的成員,之後才能移除根 SSH 存取。

執行這項作業的原因和時機

在停用直接根存取前,請使用 AllowGroups 來測試授權管理員是否可以存取 SSH,而且可以使用 Wheel 群組和 su 命令,以根使用者的身分登入。

程序

  1. 以根使用者身分登入並執行下列命令。
    # useradd -d /home/vropsuser -g users -G wheel –m
    # passwd username

    Wheel 是針對 SSH 存取,在 AllowGroups 中指定的群組。若要新增多個次要群組,請使用 -G wheel,sshd

  2. 切換為該使用者並提供新密碼,以確定執行密碼複雜度檢查。
    # su – username
    username@hostname:~>passwd
    

    若密碼達到密碼複雜度,便會更新。若密碼未達到密碼複雜度,便會還原為原始密碼,您必須重新執行密碼命令。

    在您建立登入帳戶以允許 SSH 遠端存取,並且使用 su 命令與 wheel 存取權以根使用者身分登入後,便可以移除 SSH 直接登入的根帳戶。

  3. 若要移除對於 SSH 的直接登入,請修改 /etc/ssh/sshd_config 檔案,將 (#)PermitRootLogin yes 改成 PermitRootLogin no

下一步

停用以根使用者身分直接登入。依預設,強化後的應用裝置允許透過主控台直接登入根使用者。在您建立管理員帳戶以確立不可否認性,並測試帳戶的 wheel 存取權 (su-root) 後,請以根使用者的身分編輯 /etc/securetty 檔案,並以 console 取代 tty1,藉此停用直接根登入。