Parametern i OpenSSH -serverkonfigurationsfilen (`/etc/ssh/sshd_config`) som styr om rotinloggning med lösenordsautentisering är tillåtet är` tändarrootlogin '.
För att tillåta rotinloggning med ett lösenord skulle du ställa in det på `Ja ':
`` `
Tillåtetrootlogin ja
`` `
Det är emellertid starkt avskräckt för att möjliggöra rotinloggning med lösenordsautentisering av säkerhetsskäl. Det gör din server mycket mer sårbar för attacker av brute-force. Det är bästa praxis att:
1. Inaktivera lösenordsautentisering helt (`PasswordAuthentication No ')
2. Använd SSH -nycklar för autentisering
3. Om du måste tillåta rotinloggning, använd `tätarRootLogin Prohibit-Password` . Detta tillåter rotinloggning * endast * med SSH -nycklar, men inaktiverar det med lösenord.
Här är en uppdelning av de rekommenderade inställningarna:
* bästa praxis (säkraste):
`` `
MateRootLogin förbjuder passering # eller "nej"
PASSOMERAuthentication No # Inaktivera lösenord Autht i allmänhet
`` `
* Om du * verkligen * behöver lösenordsutveckling för rot (rekommenderas inte):
`` `
Tillåtetrootlogin ja
PasswordAuthentication Ja
`` `
Efter att ha gjort ändringar i `sshd_config` måste du starta om SSH -tjänsten för att ändringarna ska träda i kraft:
`` `bash
sudo systemctl omstart sshd # på systemd -system (mest moderna linux)
sudo service ssh omstart # på äldre sysvinit -system
`` `
Viktiga säkerhetsöverväganden:
* brute-force attacker: Att aktivera lösenordsautentisering för Root gör din server till ett enkelt mål för automatiserade attacker som försöker gissa rotlösenordet.
* ssh -nycklar: SSH -nycklar ger ett mycket säkrare sätt att autentisera. De är kryptografiskt starka och praktiskt taget omöjliga att brute.
* sudo: Ett bättre alternativ till direktrotinloggning är att logga in som en vanlig användare och använda `sudo" för att köra kommandon som kräver rotprivilegier. Detta ger en revisionsspår och begränsar den potentiella skadan om en angripare komprometterar användarkontot.
Sammanfattningsvis, medan "Perellrootlogin Yes" tekniskt tillåter rotinloggning med ett lösenord, bör du undvika att använda det och prioritera att använda SSH -nycklar och inaktivera lösenordsautentisering. Om du måste tillåta rotinloggning, använd `turarootlogin förbjuder-password 'för att endast upprätthålla användningen av SSH-nycklar.
