Отключить локальный вход в систему root, разрешить вход в систему root через ssh

Да.

1. Создайте SSH-ключ для root и добавьте публичную половину в ~/root/.ssh/authorized_keys.
2. редактировать /etc/ssh/sshd.conf - Устанавливать PermitRootLogin к without-password
3. Перезагрузите sshd
4. ПОПРОБУЙ ЭТО - Убедитесь, что вы можете войти в систему как root через SSH, используя ключ.
   • ТЕСТИРОВАНИЕ РЕЖИМА ОДНОГО ПОЛЬЗОВАТЕЛЯ - Убедитесь, что он не запрашивает пароль root (после того, как вы выполните шаг 5, root больше не сможет входить в систему, используя пароль, поэтому нарушение однопользовательского режима может быть плохой вещью)
5. Заблокируйте пароль для входа root (замените поле пароля в / etc / shadow на *, x, и т.д.)

Ноты:

1. Ваш компьютер все еще может быть рутирован любым, кто может подойти к консоли (поскольку однопользовательский режим не запрашивает пароль), но ваша машина выйдет из строя, когда они попробуют это, так что вы теоретически узнаете.
   • Если вы настроили однопользовательский режим на запрос пароля, единственный способ выполнить восстановление в вашей системе - использовать компакт-диск восстановления, и вы находитесь в той же лодке безопасности, что и выше, но теперь хакер раздражен.
2. Сетевой профиль вашего компьютера теперь защищен только на уровне SSH-ключа root, поэтому убедитесь, что вы установили правильную парольную фразу и храните ключ в надежном месте.
3. Если вы потеряете ключ SSH, единственный способ вернуться в систему с правами root - это перезагрузиться в однопользовательском режиме (или взломать свой собственный компьютер).

Альтернативная конфигурация также возможна, когда отдельный sshd, который прослушивает вход в систему root, доступен только на localhost и вы используете переадресацию агента для входа в систему как root. Я знаю по крайней мере одну крупную корпорацию, у которой есть такая конфигурация, и она добавляет еще один уровень безопасности (и сложности).

Отключение локального входа в систему root - плохая идея. Доступ может потребоваться в случае сбоя системы. В соответствии с Руководство по безопасности NSA RHEL 5, 2.3.1.1 Ограничить вход с root-правами в системную консоль:

Прямой вход в систему с правами root должен быть разрешен только в экстренных случаях. В обычных ситуациях администратор должен получить доступ к системе через уникальную непривилегированную учетную запись и использовать su или sudo для выполнения привилегированных команд. Отказ администраторов от прямого доступа к учетной записи root обеспечивает отслеживание аудита в организациях с несколькими администраторами. Блокирование каналов, через которые root может подключаться напрямую, уменьшает количество поддерживаемых единиц для подбора пароля для учетной записи root.

(...)

Root также следует запретить подключаться по сетевым протоколам.

Отключить вход root с локальной консоли можно, удалив строки tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 tty9 tty10 tty11 из / etc / securetty.