Debian 12 “Bookworm” 默认配置中,出于安全考虑,系统通常禁止Root用户直接通过SSH进行远程登录。SSH服务本身是允许Root连接的,但关键限制在于其身份验证配置。了解这一默认行为是进行后续配置调整的基础。
修改SSH服务器配置
开启Root用户SSH登录的核心步骤是编辑SSH服务器的配置文件。使用具有sudo权限的用户登录系统,然后通过命令行打开配置文件。
sudo nano /etc/ssh/sshd_config
在打开的配置文件中,找到关于Root登录的配置行。它通常显示为:
- #PermitRootLogin prohibit-password
你需要修改或添加这一行。根据你的安全需求,可以将其设置为以下几种值之一:
| 配置值 | 说明 |
|---|---|
| yes | 允许Root登录,可以使用任何认证方式(包括密码)。 |
| prohibit-password | 允许Root登录,但禁止使用密码认证(必须使用密钥)。 |
| without-password | 同 `prohibit-password`。 |
| no | 完全禁止Root登录。 |
例如,若要允许Root使用密码登录,请确保该行是:
PermitRootLogin yes
如果该行以 `#` 开头,需要先删除注释符号使其生效。
为Root用户设置登录密码
如果你计划使用密码方式登录Root账户,必须确保该账户已设置一个强密码。如果Root密码尚未设置或你希望更改,可以执行以下命令:
sudo passwd root
系统会提示你输入并确认新的Root密码。请务必设置一个复杂且难以破解的密码。
重启SSH服务与应用配置
在修改配置文件并设置密码后,必须重启SSH服务以使新的配置生效。执行以下命令:
sudo systemctl restart ssh
为了确保SSH服务在系统启动时自动运行,可以检查其状态:
sudo systemctl status ssh
你应当看到服务状态为 active (running)。
防火墙与网络配置检查
如果系统启用了防火墙(如 `ufw`),你需要确保SSH端口(默认为22)是开放的。可以使用以下命令查看和设置:
- 查看状态:sudo ufw status
- 允许SSH:sudo ufw allow ssh
完成此步骤后,你的防火墙将允许外部设备通过SSH连接到你的Debian系统。
安全风险与最佳实践
允许Root用户远程SSH登录会显著增加系统的安全风险,因此强烈建议仅在绝对必要时开启,并遵循以下最佳实践:
- 优先使用密钥认证:将 `PermitRootLogin` 设置为 `prohibit-password`,并配置SSH密钥对,这比密码安全得多。
- 使用非标准端口:考虑将SSH服务迁移到22以外的端口,可以减少自动化攻击脚本的扫描。
- 使用Fail2ban:安装和配置Fail2ban工具,它可以自动封禁多次尝试失败登录的IP地址。
- 限制访问IP:通过防火墙策略,仅允许来自可信IP地址范围的SSH连接。
- 常规方案:更安全的做法是禁用Root登录,使用一个普通用户通过SSH登录,然后再使用 `sudo` 或 `su` 命令来获取管理员权限。
内容均以整理官方公开资料,价格可能随活动调整,请以购买页面显示为准,如涉侵权,请联系客服处理。
本文由星速云发布。发布者:星速云。禁止采集与转载行为,违者必究。出处:https://www.67wa.com/134427.html
