如果 SSH 仅允许密钥登录，还有必要禁用 ROOT 登录吗？

有需要的话就做，因为两者不是同一个方面的保护

不相干的，密钥用户权限一般都是 ROOT

@shangfabao 不相干的，密钥用户权限一般都不是 ROOT

没必要

你能保证 迷钥 绝对不会外泄么？世上没有绝对的安全。

@likuku 单从破解入侵方面说，如果说泄露那么禁用什么都不够安全啊

@shangfabao 我意思是说只允许密钥登录，那么用 ROOT 登录单从防止破解入侵方面来说足够安全么

我觉得没必要

之前有 v 友说来着，对于安全防护，从来都不要嫌多。因为，你如何确保 root 登录验证部分始终没有漏洞？也许是还有的没有被人发现？就想当年的 bash 漏洞，谁会想到，这玩意竟然有漏洞？
另外，如果是 root 直接登录然后不切换普通用户就执行软件命令的更加需要禁止 root 登录了。

@cnfzv 没有完全的安全，但是允许 root 登录过不了安全检测这一关,另外禁用 root 就是你什么用户登录你自己的账户干自己的事,上去就是 ROOT 用户,万一 RM -RF 了呢？

理念上说就不应该直接用 root 账号来操作，应该建一个其它账号授给必要的 sudo 权限。
把 root 登录禁用肯定会更安全一些，其它账号就很难猜出来。
从我们生产的运维实践来说，通常为了安全要设置防火墙用 IP 白名单来限制访问。

从来不用 root 登陆

@cnfzv 你主题已经透露出是在“关注安全”了，那么最基本的安全准则就是“权限最小化”，只给必须的最小权限。

看似多余的，一概不给。

一般来说，通过修改端口，禁 ROOT，强密码，在应对破解这方面就已经够用了。
而通过密钥登陆，虽然安全性得到进一步提升，但是却失去了密码的便利。如果在讨论是否禁用 ROOT 带来更大的提升，就有些执念了。
所以最终我选择了堡垒机....

@shangfabao 想起还有常见的状况：
一些人开了终端登陆到服务器上，终端不关闭，也不锁屏，就离开工位作其它事，
若你是 root 登陆的，此时任何人在电脑前都可以直接用终端以 root 身份作一切事情了。

再次感慨 aws 的 ec2 主机，假若用 AMI （ Amazon 自己作的系统镜像) 初始化的，
只提供密钥登陆，只提供一个非 root 账户 （主机运行前根本不提供你开设其它账户的功能）

root + 16 位密码，和 4 为用户名 **** + 12 位密码。被破解的概率是一样的吗？

位

@rogwan 所以，现在云端时代，更先进的理念：服务要设计成根本不需要 ssh，抛弃传统账密登陆管理的方式。

你锁匠再厉害，我连门都不留给你，锁匠变废物了。

既然大家这么在意安全，是不是该把你们的 selinux 设置好

我的服务器是 root 加秘钥，禁止密码登录