文章目录

前言

如果不禁止root用户的远程登陆，就会将root用户暴露在网络环境中，

因为在缺省的安装中root用户是一定存在的，所以root用户容易受到攻击。

提示：以下是本篇文章正文内容，下面案例已测试。可供参考

一 具体步骤

一.禁止root用户远程登陆

vim /etc/ssh/sshd_config

把PermitRootLogin yes改成PermitRootLogin no

或注释此项 （笔者选择注释，测试通过）

二.禁止普通用户su至root

vim /etc/pam.d/su

(1)去除/etc/pam.d/su文件中如下行的注释：

auth required pam_wheel.so use_uid

wheel组的介绍

在Linux中wheel组就类似于一个管理员的组。通常在LUNIX下，即使我们有系统管理员root的权限，也不推荐用root用户登录。一般情况下用普通用户登录就可以了，在需要root权限执行一些操作时，再su登录成为root用户。但是，任何人只要知道了root的密码，就都可以通过su命令来登录为root用户--这无疑为系统带来了安全隐患。所以，将普通用户加入到wheel组，被加入的这个普通用户就成了管理员组内的用户，但如果不对一些相关的配置文件进行配置，这个管理员组内的用户与普通用户也没什么区别。根据应用的实例不同应用wheel组的方法也不同。这里对于服务器来说，我们希望的是剥夺被加入到wheel组用户以外的普通用户通过su命令来登录为root的机会（只有属于wheel组的用户才可以用su登录为root）。这样就进一步增强了系统的安全性。

然后，用“usermod -G wheel 用户名”将一个用户添加到wheel组中

usermod -G wheel 用户名

查看或手工添加：

vim /etc/group

经测试wheel用户组tomcat可su到root用户下：

附：密码生成器

yum install pwgenpwgen -y