ssh 已经禁止密码登陆，是否还有必要禁止 root 登陆？

root敢死队教你做人。

没有必要吧。。。感觉能破解证书的人，就算你禁了root用户应该也没什么用。。。

大概是因为不推荐用root身份去执行大部分操作，总不会是ssh上去再换用户吧。
还有如果证书泄露，登陆上去要执行sudo还是有一层密码保护，要切换su会再多一次root密码的保护。

有, 要养成没事不要切root的习惯

不要随便root操作

谢谢ls的几位，先把最关键的数据服务器的root登录禁止掉。
用证书登录root，主要是为了手机上方便，当然也有图省事。
禁止root和密码登陆，这样等于需要两步验证对吧。

@xiaket +1
禁了root,用普通账户登陆，需要高级权限，sudo
你可以观察一下日志，我机器上每天N多尝试root密码的。

passwd -d root

Checklist 第一个

楼主这里禁止root，是指普通用户ssh登录，sh切换不到root吗？

@zhy 错了，su

@zhy 是禁止root上ssh。

@rhwood 禁用root登录，更多的是考虑多一层保护。
普通用户的用户名和密码都是未知的，攻击者需要同时获得两个咨询才行。
而root的用户名是已知的，这样就减少了猜测难度。
虽然现在是安全的，但是若出现了任意证书登录漏洞（仮），用普通用户更安全些。

另外用sudo不用root也是个好习惯。

问题是如果你不自己设置sudoers文件 哪怕是普通用户登录的sudo一个命令提权有什么区别么 - - |||| 除非你之后自己详细设置了那些命令可以通过sudo执行哪些不可以 否则你那个所谓的普通用户其实就是拥有root的权限 改root密码都没问题 分分钟解掉限制 有什么意义么 - - |||||

@twl007 难道sudo不需要当前用户的密码吗，证书登录的话还要破解掉这个用户的密码才能拿到权限，如果是root的话直接破解（或获取）到证书就拿到所有权限了

@choury 为何不试试denyhosts这类自动屏蔽暴力破解的脚本呢 其实这个ssh是最容易防范得了 这么说吧 只要不是ssh自己本身出什么大的漏洞 基本就靠密码没个几千次很难破解出来 依靠denyhosts这类基本三次错误就会被屏蔽了哪会给他尝试几千次 = = |||||

与其担心ssh的问题不如多担心一下自己应用的漏洞吧 相比ssh自己应用的漏洞可是问题大得多了

其实我觉得最重要的是改端口……
要不然每天被人尝试

用个rsa4096证书就不用怕了吧，反正我也没什么重要，rsa4096已经是最高级别的rsa证书了

好吧，其实端口早就改了。
1. 现在是使用非默认端口listen ssh
2. 禁止密码登陆
3. 禁止root登陆
4. csf / denyhosts 会屏蔽暴力破解的ip

@twl007 非常同意应用漏洞更烦人

@twl007 你的意思是有了denyhosts，其他防范措施就不用做了？因为应用问题多ssh安全就不管了？

@twl007 denyhosts 新的 ubuntu 下已经木有了，不知道有木有类似的简单易用的东东