限制root用户远程登入主机

（1）、 Linux系统限制root用户登录

方法1： 锁定用户
passwd -l root 或 usermod -L root
解锁 passwd -u root 或 usermod -U root

方法2： 更改root的shell环境 改成 /sbin/nologin
chsh -s /sbin/nologin root

方法3： 修改ssh配置文件将PermitRootLogin 改为no
编辑/etc/ssh/sshd_config 找到 PermitRootLogin yes 改成 PermitRootLogin no
修改后保存文件，重启sshd服务。这样root用户就不能ssh登录系统了， 可以用普通用户登录系统后su 切换到root用户。 这个使用很方便。

方法4： 使用ulimit资源限制来限制root登录
编辑 /etc/security/limits.conf文件，在文件尾部增加
* soft nofile unlimited
* hard nofile unlimited
效果: 远程ssh登录的时候一闪退出，本地接显示器查看输入root账号登录时会提示 “Permission denied”且会自动闪出。解决办法进入单用户模式修改上面的配置文件，改回去即可。

方法5：使用pam和wheel方法
5.1 通过pam限制root远程登入主机
vim /etc/ssh/sshd_config
添加 UsePAM yes
vim /etc/pam.d/sshd 行首添加：
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/denyuser onerr=succeed
echo "root" >> /etc/ssh/denyuser
列在/etc/ssh/denyuser中的用户， 都会被拒绝使用密码登录

5.2 只允许wheel组用户可以执行su - root的操作
通常在UNIX下，即使我们是系统的管理员，也不推荐用 root 用户登录来进行系统管理。一般情况下用普通用户登录，在需要 root 权限执行一些操作时，再 su 登录成为 root 用户。但是，任何人只要知道了 root 的密码，就都可以通过 su 命令来登录为 root 用户——这无疑为系统带来了安全隐患。所以，将普通用户加入到 wheel 组，被加入的这个普通用户就成了管理员组内的用户，但如果不对一些相关的配置文件进行配置，这个管理员组内的用户与普通用户也没什么区别——就像警察下班后，没有带枪、穿这便衣和普通人（用户）一样，虽然他的的确确是警察。这个对于系统安全确实很有帮助。
vim /etc/pam.d/su 行首添加
auth required pam_wheel.so use_uid

添加一个普通用户并属于wheel组，保证有除root之外的其它用户能登录到系统 。
useradd -g wheel admin
passwd admin

5.3 测试
root不能ssh登入主机系统； admin用户可以ssh登入主机系统，admin用户可以su - root切换，admin用户可以使用sudo来提升权限。

方法6： 使用TCP_Wrappers 来控制ssh服务
/etc/hosts.allow 和/etc/hosts.deny 这两个文件是tcpd服务器的配置文件。其中deny文件是阻止文件，allow是允许文件。规则是:先匹配deny后匹配allow。当hosts.allow和 host.deny相冲突时，以hosts.allow设置为准。 注意修改完后执行service xinetd restart才能使得更改生效。

6.1 先允许哪个网络的主机能远程ssh到服务器
vi /etc/host.allow
sshd:222.186.169.207

6.2 在host.deny文件中设置“ssh服务拒绝所有 ”
vi /etc/host.deny
sshd:ALL

修改后，文件立即生效

（2）、普通用户sudo授权

编辑 /etc/ssh/sshd_config，将PermitRootLogin的值改成no，保存service sshd restart 这样就可以禁止root用户ssh登录系统。

创建用户允许sudo权限

useradd admin
passwd admin

添加admin账号有sudo权限
#visudo
加入
admin ALL=(ALL) NOPASSWD: ALL