禁止root远程登录CentOS并启用sudo

在Linux服务器管理中，安全性是一个非常重要的考虑因素，默认情况下，CentOS允许root用户通过SSH远程登录，这虽然方便了管理员进行系统维护，但也大大增加了系统遭受攻击的风险，禁用root用户的远程登录并启用sudo（substitute user do）成为了一种推荐的安全实践，下面将详细介绍如何实现这一目标。

禁用root远程登录

1、编辑SSH配置文件：需要编辑SSH的配置文件/etc/ssh/sshd_config，以禁止root用户远程登录。

2、查找相关配置行：在文件中查找到以下两行配置：

“`

PermitRootLogin yes

AllowTcpForwarding yes

“`

3、修改配置：将PermitRootLogin的值改为no，以禁止root用户登录，可以考虑将AllowTcpForwarding设置为no，以禁用TCP转发，增加额外的安全层。

4、重启SSH服务：保存文件后，重启SSH服务以使更改生效，可以使用以下命令：

“`

sudo systemctl restart sshd

“`

启用sudo

1、安装sudo：如果系统中尚未安装sudo，首先需要安装它，可以使用以下命令：

“`

sudo yum install sudo

“`

2、配置sudoers文件：sudo的配置文件是/etc/sudoers，使用visudo命令编辑此文件，这是一个安全的编辑方式，可以避免语法错误。

3、添加sudo用户：在sudoers文件中，为需要提升权限的用户添加相应的权限，要允许用户username执行任何命令，可以添加以下行：

“`

username ALL=(ALL) NOPASSWD: ALL

“`

4、测试sudo功能：切换到该用户，尝试使用sudo执行一些命令，检查是否能够成功执行且不需要输入密码。

安全管理建议

定期更新系统和应用：保持系统和所有应用的最新状态，以修补已知的安全漏洞。

使用密钥认证：代替密码认证，使用SSH密钥对进行认证，以提高安全性。

监控日志文件：定期检查/var/log/secure等日志文件，以便及时发现异常登录尝试或其他可疑活动。

FAQs

Q1: 为什么应该禁用root远程登录？

A1: 禁用root远程登录可以显著降低系统被攻击的风险，由于root用户拥有完全的系统权限，一旦攻击者获取了root权限，他们可以无限制地访问系统资源并进行破坏，通过限制root用户的远程访问，即使攻击者获得了普通用户的访问权限，他们也难以直接获得root权限，从而增加了系统的安全防护层次。

Q2: 启用sudo后，如何安全地管理用户权限？

A2: 在启用sudo后，应仔细规划并分配用户权限，基本原则是赋予用户完成其工作所必需的最小权限，避免不必要的过度授权，可以通过编辑/etc/sudoers文件，精确控制哪些用户可以执行哪些命令，定期审查和调整用户权限，确保权限设置仍然符合当前的安全策略和业务需求。

通过上述步骤，可以在CentOS系统中有效地禁用root远程登录并启用sudo，从而提高系统的安全性，这种配置不仅有助于防止未授权的访问，还可以通过精细的权限管理，减少潜在的内部威胁。