root账户远程登录限制

配置方法：修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no。重启sshd服务，systemctl restart sshd。

root用户不能远程登录，只能新建普通用户进行远程登录

创建用户

新增用户，为了禁止root账号登录，则需要创建新的用户，并设置密码

useradd USERNAME

passwd USERNAME

sudo和su

su用于用户之间的切换

sudo用于普通用户可以使用root权限来执行命令

sudo无法使用

作为一个新用户的你如果试图运行sudo命令，你会碰到以下错误。

user isnotin the sudoers file.  This incident will be reported.

加入到Linux的sudo组里，需要在root用户下运行该命令。

root用户下运行命令 

adduser 用户 sudo或者gpasswd -a 用户 sudo

移出sudo组

gpasswd -d 用户 sudo

使用groups命令查看当前属于哪个组

groups

添加完毕后，可以运行sudo

su 无法切换root

通过su - root切换root账号的过程中，切换失败，并提示“su: Permission denied”

情况一因为主机设置了只有将普通用户加入管理员组wheel才有su权限

一般出现此情况是因为服务器做了如下配置：

编辑配置文件/etc/pam.d/su

vim /etc/pam.d/su

将此行的注释打开

auth            required        pam_wheel.so use_uid

修改 /etc/login.defs

echo "SU_WHEEL_ONLY yes" >> /etc/login.defs

因此要获得su权限，需要将用户添加wheel组 ，如下：

usermod -aG wheel 用户或者gpasswd -a 用户 wheel若出现group 'wheel' does not existsudo addgroup wheel

用户移出wheel组

usermod -G 用户组 用户或者gpasswd -d 用户 wheel

情况二su权限排查

ls -l /bin/su

-rwxrwxrwx.1 root root /bin/su

查看了一台正常的机器为：

-rwsr-xr-x.1root root bin/su

通过执行 chmod u+s /bin/su 修改权限

获得su权限后可以正常执行命令：

忘记密码

用 Linux 系统单用户模式修改密码

1、启动系统，进入开机界面，在界面中按“e”进入编辑界面

2、找到以“Linux”开头内容所在的行数”，在行的最后面输入init=/bin/sh

3、Ctrl+x 进入单用户模式  输入 ：mount -o remount,rw /

4、设置新密码 输入：passwd root，回车，输入密码，然后再次输入确认密码

5、输入：touch /.autorelabel

6、输入：exec /sbin/init

用户隔离。无论执行系统命令还是数据库操作，严格区分用户，尽量使用sudo，而不是直接操作root，这样可以有效降低人为失误。

原文始发于微信公众号（小话安全）：linux系统新建用户及禁止root账户远程登录