→ Adama:記得要重啟sshd啊 XD 03/24 23:01
※ 引述《[email protected] (小州)》之銘言:
: ※ 引述《[email protected] (Eurika)》之銘言:
: > 我自己架了linux, 可是root不能由remote login,
: > 造成很多不便,
: > 用別的account login, 再su成root,
: > 還是有一些不便, ex:ipchains就無法使用
: > 請問如何允許remote login root.
: > thx
: 這類問題再被問到總感覺不是很合理,因為這是十大 FAQ 問題之一。
: 答案您只要 man su 就可以知道問題所在了... 來看看 man su 的內容:
: -, -l, --login
: Make the shell a login shell. This means the fol괊: lowing. Unset all environment variables except
: `TERM', `HOME', and `SHELL' (which are set as
: described above), and `USER' and `LOGNAME' (which
: are set, even for the super-user, as described
: above), and set `PATH' to a compiled-in default
: value. Change to USER's home directory. Prepend
: "-" to the shell's name, to make it read its login
: startup file(s).
: 所以說,很單純的原來是只有執行 "su" 的話,雖然是變成了 root 身份,
: 但是一些 TERM,HOME,SHELL,PATH 等等環境變數都還是原先使用者的環境,
: 所以說您說無法執行 ipchains 程式,那只因為您目前的 PATH 並沒有
: 指向 /sbin、/usr/sbin 的目錄,所以說這個情況是可以預期的.....
: 而就算您是這個情況,您還是可以使用絕對路徑的方式來輔助啊...
: 比方: /usr/sbin/ipchains 這樣子的方式。
: 總結就是,請使用 su - 或者是 su -l 或者 su --login 的話,那就相當
: 於使用 root 身份登入一般,也不會有您說的問題了。
: 另外弟要提醒的是,當有人說到 su 可以切換到 root 身份時,別忘了告知
: 弟上面說到的情況,才不會讓上面這個 FAQ 一再出現。
: 至於說到有人認為無法直接使用 root 帳號登入,真是不方便... 其實
: 這是系統提供的保護的方式之一,可以防止有人一直使用 root 帳號
: 來 try 您的系統... 加上這個保護之後,那要變成 root 的人,至少
: 需要使用一般帳號登入主機後,也才有可能使用其他的方式切換成為 root
: 身份。加上這個機制,可以增加系統的安全性...
心得 果然還是禁止Root遠端登入好了
最近裝了一個CentOS 系統 為了遠端管理需要 就把SSH 對外開放
最近就發現了一堆Root入侵的Log
Mar 22 22:54:56 water sshd(pam_unix)[4702]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:00 water sshd(pam_unix)[4704]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:10 water sshd(pam_unix)[4706]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:14 water sshd(pam_unix)[4708]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:19 water sshd(pam_unix)[4710]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:24 water sshd(pam_unix)[4712]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:28 water sshd(pam_unix)[4714]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
Mar 22 22:55:39 water sshd(pam_unix)[4716]: authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=122.128.36.3 user=root
(以下族繁不及備載...)
順便提供禁止ROOT遠端登入的改法
參考網頁 http://www.study-area.org/tips/ssh_tips.htm
1) 禁止 root 登錄
# vi /etc/ssh/sshd_config
PermitRootLogin no
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.133.97.247