第 十 六 天 ： 关 于 root 和 用 户 登 陆 的 问 题

一： 不允许root远程登录，但普通用户可以

有时为了特殊需求，只允许普通账户登陆Linux，而不允许root账户登陆，而普通账户登陆后，然后再su 到root下是可以的。打开sshd的配置文件 

vim /etc/ssh/sshd_config  加入一行：

PermitRootLogin     no

重启sshd服务： service  sshd restart

二：限制root只能用密钥登陆

打开sshd配置文件  

vim  /etc/ssh/sshd_config  在最后面增加一行 ：

PermitRootLogin without-password

保存配置文件后重启sshd服务

service  sshd  restart

三：如何限制IP登录

1） 白名单形式

要求： 只允许 192.168.0.1 和 192.168.0.10 登陆 其他全部禁止

实现：  

1. vim   /etc/hosts.allow   //增加如下内容

sshd: 192.168.0.1, 192.168.0.10

2. vim  /etc/hosts.deny   //增加如下内容

sshd:  ALL

2） 黑名单形式

要求： 只限制192.168.0.1登陆上来，其他全部放行

实现： 

vim  /etc/hosts.deny   //增加如下内容

sshd: 192.168.0.1

保存配置文件后就可以啦，不用重启。 不用再去编辑 /etc/hosts.allow 了，此文章来自阿铭老师和风合师哥；

我们可以这样理解这两个文件工作原理： 当客户端的IP登陆服务器的时候，先去匹配hosts.allow， 如果这里面有这个IP，则直接放行，如果没有这个IP，则看hosts.deny， 如果这里面有该IP（ALL包括一切IP）则拒绝，如果deny中也没有匹配，则也会放行。也就是说，如果这两个文件中都没有限定的IP，则会放行！