为什么要禁用root远程登录？

root账户拥有系统最高权限，如果允许直接远程登录，会带来以下安全隐患：

• 暴力破解风险：黑客可以通过自动化工具对root账户进行暴力破解
• 操作不可追溯：多人使用root账户难以区分具体操作人员
• 权限滥用：误操作可能直接导致系统崩溃

方法一：修改SSH配置文件（推荐）

这是最常用且可靠的方法，通过修改SSH服务配置文件实现：

# 编辑SSH配置文件
sudo vi /etc/ssh/sshd_config

# 找到以下参数并修改
PermitRootLogin no

# 重启SSH服务
sudo systemctl restart sshd

优点：配置简单，效果立竿见影
缺点：需要确保已有其他可登录账户

方法二：使用PAM模块限制

通过PAM(Pluggable Authentication Modules)实现更灵活的访问控制：

# 编辑PAM配置文件
sudo vi /etc/pam.d/sshd

# 添加以下内容
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/deniedusers onerr=succeed

然后在/etc/ssh/deniedusers文件中添加root账户

方法三：设置防火墙规则

通过防火墙直接阻断root用户的SSH连接：

# 使用iptables添加规则
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name SSH -j DROP

这种方法适合临时限制，但不推荐作为长期方案

方法四：使用密钥认证替代密码

完全禁用密码登录，强制使用SSH密钥认证：

# 修改SSH配置
PasswordAuthentication no
AuthenticationMethods publickey

虽然不能直接禁用root登录，但极大提高了安全性

方法五：使用sudo权限分配

完全删除root密码，通过普通用户+sudo获得权限：

# 锁定root账户
sudo passwd -l root

# 配置sudo权限
username ALL=(ALL) ALL