質問 :SSH を保護して直接ルート/非ルート ユーザー ログインを無効にするにはどうすればよいですか?
答え:
ここで説明する手順では直接の root ログインが許可されていないため、SSH を使用して接続する場合は、最初に通常のユーザーとしてログインし、次に su を使用して root アクセスを取得する必要があります。
root ログインの無効化
1. /etc/ssh/sshd_config を編集します ファイルをテキスト エディタで開き、次の行を見つけます:
#PermitRootLogin yes
2. yes を no に変更し、行頭の「#」を削除して、次のようにします:
PermitRootLogin no
3. sshd サービスを再起動します:
# service sshd restart
root ログインを有効にする
root ログインを再度有効にするには、まったく逆のプロセスに従います。
1. /etc/ssh/sshd_config を編集します ファイルをテキスト エディタで開き、次の行を見つけます:
#PermitRootLogin no
2. no を yes に変更するか、単純に「#」を行頭に付けて、次のようにします:
#PermitRootLogin yes
3. sshd サービスを再起動します:
# service sshd restart
root 以外のユーザーの直接の root ログインを無効にする
すべてのユーザーがシステムにリモートでログオンできるようにすることは、セキュリティ上のリスクになる場合があります。システムにリモート アクセスできるユーザーを制限するには、さまざまな方法があります。いくつか例を挙げると、PAM、IPwrapers、または IPtables を使用できます。ただし、SSH 経由でシステムにアクセスできるユーザーを制限する最も簡単な方法の 1 つは、SSH デーモンを構成することです。
ディレクティブ AllowUsers 、/etc/ssh/sshd_config で設定できます .このディレクティブの後に、スペースで区切られたユーザー名パターンのリストを続けることができます。指定した場合、それらのユーザー名に対してのみログインが許可されます。
AllowUsers [username]
[username] は、許可するユーザー名です。
たとえば、ユーザー john と teena に ssh ログインを許可し、残りのユーザーに対しては無効にするには、AllowUsers ディレクティブを次のように変更します。
AllowUsers john teena
変更を有効にするために sshd サービスを再起動してください:
# service sshd restart
グループの SSH ログインを許可/禁止
グループを制限するには、オプション AllowGroups および DenyGroups ファイル /etc/ssh/sshd_config で使用されます .上記のオプションは、プライマリ グループまたは補足グループがグループ パターンのいずれかに一致するユーザーを許可または禁止します。
CentOS / RHEL 6 :telnet による直接ルート ログインを無効化 / 有効化する方法