阿里雲實名帳號開通 如何禁用系統root用戶直接登錄

為何要禁用root直接登錄？

說到系統安全，root帳號就像一把萬能鑰匙，誰拿到誰就能為所欲為。如果黑客直接通過SSH暴力破解root密碼，後果不堪設想。所以，讓root「隱姓埋名」，只允許普通用戶用sudo提權，才是王道！

想象一下，你的系統就像一座城堡，root就是城堡的大門鑰匙。如果這把鑰匙被偷了，敵人可以直接衝進城堡中心，隨意破壞。但如果你把鑰匙藏起來，只讓守衛（普通用戶）有權限進出，萬一守衛被劫持，敵人也只能在城堡外圍活動，無法直接威脅核心區域。這就是為何我們要禁用root直接登錄——把風險降到最低。

第一步：創建普通管理員賬戶

為何需要這一步？

在禁用root之前，務必先建立一個可以上傳的普通賬戶，否則修改配置後你可能會被鎖在系統外面！想想看，你正興高采烈地把PermitRootLogin設成no，結果重啟SSH服務後，發現自己再也無法登錄，那可真是哭都沒地方哭。所以，先讓小弟頂上，再動手動腳。

以Ubuntu為例，創建新用戶並加入sudo組：

sudo adduser username
sudo usermod -aG sudo username

而CentOS/RHEL系統則需要加入wheel組：

sudo adduser username
sudo usermod -aG wheel username

執行完後，用id username查看用戶組，確認是否成功加入sudo/wheel組。例如輸出會顯示groups=xxx,sudo（或wheel）等信息。記住！密碼一定要夠複雜，別用「password」或「123456」，黑客一秒就能破解。

測試普通賬戶權限

在修改SSH配置前，先確保新賬戶可以正常登錄並使用sudo。試著用新賬戶SSH登錄，然後輸入sudo ls /root看看是否能成功執行。如果提示「xxx is not in the sudoers file」，那就得重新檢查用戶組設置。

第二步：修改SSH配置文件

找到關鍵設置

SSH的配置文件位於/etc/ssh/sshd_config，用vim或nano打開它：

sudo nano /etc/ssh/sshd_config

按下Ctrl+W搜索PermitRootLogin。如果找到這行，檢查前面是否有#號注釋。如果有，刪除#號；如果沒有，直接修改為no：

PermitRootLogin no

如果沒找到這行，直接在文件最底部添加：

PermitRootLogin no

此外，建議同時關閉密碼登錄，改用更安全的密鑰認證。找到PasswordAuthentication，改為no：

PasswordAuthentication no

但這一步需謹慎，確保你已設置好SSH密鑰，否則你將無法用密碼登錄！如果還不確定，可以先不改，等確認root禁用成功後再關閉密碼登錄。

備份配置文件

修改前務必備份！用這條命令保存原始配置：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

萬一改錯了，直接複製備份覆蓋即可恢復：

sudo cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config

第三步：重啟SSH服務並測試

保存配置後，重啟SSH服務讓設定生效：

Ubuntu/Debian：

sudo systemctl restart sshd

CentOS/RHEL：

sudo systemctl restart sshd

或者用舊版命令：

sudo service ssh restart

阿里雲實名帳號開通 現在，用另一台設備或新開一個SSH窗口，用普通賬戶登錄測試。確認能正常登入後，再嘗試用root帳號登錄：

ssh root@yourserver

應該會看到「Permission denied (publickey,password)」之類的錯誤，這就表示成功了！如果你還能用root登錄，說明配置沒生效，請檢查sshd_config是否保存正確，並重新重啟服務。

阿里雲實名帳號開通 常見問題解答

修改配置後自己被鎖住了怎麼辦？

如果重啟SSH後無法登錄，可能是配置錯誤或沒開新窗口測試。此時只能通過主機提供商的控制台（如VPS的VNC）或物理訪問伺服器。進入單用戶模式修改回原來的配置。所以強烈建議：修改前開兩個SSH窗口，一個用來測試，另一個保留作為「逃生通道」！

可以用密鑰登錄root嗎？

如果PermitRootLogin設為no，即使有SSH密鑰也無法登錄。若必須使用root密鑰，可以設置為prohibit-password，但這仍有風險。建議還是用普通用戶+sudo，這樣即使密鑰洩露，黑客也只能拿到普通用戶權限，無法直接控制系統核心。

為什麼要用sudo而不是直接root？

使用sudo有幾個優點：第一，所有提權操作都會被記錄在/var/log/auth.log中，方便審計；第二，普通用戶的權限有限，即使被黑也無法直接操作系統核心；第三，避免因誤操作導致系統崩潰。例如，你可能不小心輸入rm -rf /，但普通用戶通常沒權限執行，而root就可能毀掉整個系統。

如果sudo命令失效怎麼辦？

如果普通用戶無法使用sudo，可能是/etc/sudoers文件配置錯誤。可以用visudo命令安全編輯，但需小心語法。如果已經鎖定，只能用單用戶模式修改。建議新手先用cp備份sudoers文件，再編輯。

總結

禁用root直接登錄是系統安全的基礎步驟，雖然多花幾分鐘設置，但能避免無數後患。記住：安全無小事，別嫌麻煩，從現在開始加固你的系統吧！就像關好家門才出門一樣，把root鎖進保險箱，讓普通用戶當「守門人」，才是長久之道。