Linux如何启用root用户远程登录

最直接的答案是修改/etc/ssh/sshd_config文件中的PermitRootLogin为yes并重启sshd服务，但此举风险极高，易遭暴力破解且不利于审计和权限控制，强烈建议改用普通用户配合sudo、SSH密钥认证、限制访问IP等安全措施来替代。

如果你问我Linux怎么开启root远程登录，最直接的答案就是修改SSH服务器的配置文件，通常是

/etc/ssh/sshd_config

PermitRootLogin

prohibit-password

no

yes

修改SSH配置文件，让root用户能够远程登录，这事儿说起来简单，就那么几步。

你需要做的就是用你喜欢的文本编辑器（比如

vi

nano

sudo vi /etc/ssh/sshd_config

打开文件后，你得仔细找找

PermitRootLogin

#

prohibit-password

without-password

no

找到它之后，你需要做的是：

1. 如果它被注释了，就把前面的

   #

   登录后复制
   去掉。
2. 把它后面的值改成

   yes

   登录后复制
   。

改完之后，它看起来应该像这样：

PermitRootLogin yes

我个人经验是，改完配置文件，最容易忘记的一步就是重启SSH服务。不重启的话，你的修改是不会生效的。所以，保存文件并退出编辑器后，务必执行以下命令来重启SSH服务：

sudo systemctl restart sshd
# 或者对于一些旧系统
sudo service sshd restart

重启之后，理论上你就可以尝试用root用户远程登录了。但说实话，每次我这么操作，心里总有点打鼓，总觉得好像打开了一扇不该开的门。

为什么说直接用root远程登录是个坏主意？

这问题问得好，也是我每次谈到root远程登录时，最想强调的一点。为什么不推荐？主要就是出于安全考虑，而且是那种很现实、很紧迫的安全问题。

你想想看，root用户在Linux系统里，那可是拥有最高权限的“上帝”账户，能做任何事，包括格式化硬盘、删除关键系统文件等等。如果这个账户可以直接从外部网络访问，那它就成了黑客们最想攻破的目标。

首先，暴力破解攻击。互联网上到处都是扫描器，它们会不停地尝试连接各种服务器的SSH端口（默认是22），然后用常见的用户名和密码组合进行暴力破解。root作为最常见的特权用户名，自然是它们的重点关注对象。一旦密码不够强，或者你用了弱密码，被攻破只是时间问题。我记得有一次，为了图方便，直接开了root登录，结果没两天就发现日志里一堆IP在尝试暴力破解。那之后我再也不敢掉以轻心了。

其次，审计困难。当多个管理员都用root账户登录时，你很难追踪到底是谁做了什么操作。一旦系统出了问题，或者需要回溯某个操作的责任人，这就成了一笔糊涂账。而如果每个人都用自己的普通账户登录，再通过

sudo

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

56

查看详情

再者，权限过大。即使是合法用户，直接用root登录也意味着每次操作都处于最高权限状态。这就增加了误操作的风险。比如，你本来只想删除某个用户目录下的文件，结果一个不小心，多敲了一个斜杠，把整个系统都删了，这可不是开玩笑的。通过

sudo

所以，从我的经验来看，直接用root远程登录，就像把家门钥匙直接挂在门外，还告诉所有人这是主卧的钥匙一样，风险太高了。

那么，有没有更安全的替代方案呢？

当然有，而且这些方案都是业界推荐的最佳实践，我个人也是强烈建议大家采纳的。核心思想就是“最小权限原则”和“多层防御”。

1. 创建普通用户并使用

sudo

sudo

adminuser

sudo systemctl restart sshd

系统会要求他输入自己的密码，验证通过后，这条命令就会以root的权限执行。这样一来，每个管理员的操作都有迹可循，而且他们的日常操作都在低权限环境下，大大降低了误操作的风险。

2. 使用SSH密钥认证而非密码： 密码再复杂，理论上都有被暴力破解的可能。而SSH密钥认证则要安全得多。它通过一对密钥（公钥和私钥）来验证身份。你的公钥放在服务器上，私钥保存在你的本地电脑上，并且通常受密码保护。 设置方法大致是：

• 在本地生成SSH密钥对：

  ssh-keygen

  登录后复制
• 将公钥（

  ~/.ssh/id_rsa.pub

  登录后复制
  ）复制到服务器上你普通用户的

  ~/.ssh/authorized_keys

  登录后复制
  文件中。
• 在

  /etc/ssh/sshd_config

  登录后复制
  中禁用密码认证：

  PasswordAuthentication no

  登录后复制
  。 这样，没有你的私钥，即使知道你的用户名，也无法登录服务器。这就像你家门换成了指纹锁，钥匙（私钥）只有你自己有，而且还加了密码（私钥的密码）。

3. 限制SSH访问： 你可以在SSH配置文件中，通过

AllowUsers

AllowGroups

adminuser

AllowUsers adminuser

这能有效阻止未经授权的用户尝试登录。

4. 更改默认SSH端口： 虽然这不是决定性的安全措施，但将SSH默认的22端口更改为其他不常用的端口（例如2222），可以有效减少自动化扫描器的骚扰。这就像你把家门从主干道移到了小巷里，虽然不是完全隐蔽，但至少能减少一些不必要的关注。

这些方案结合起来，能构建一个相当健壮的远程管理环境，远比直接开root登录要安全得多。

如果我非要启用root远程登录，有没有办法让它“不那么不安全”？

我明白，有时候出于各种原因，比如自动化脚本、特定的旧系统兼容性，或者就是图个方便，你可能确实需要启用root远程登录。既然非要这么做，那我们至少可以采取一些措施，让它变得“不那么不安全”，也就是进行一些加固。但请记住，这只是降低风险，并不是消除风险。

1. 必须使用SSH密钥认证，并禁用密码认证： 这是重中之重。如果root必须远程登录，那么绝对不能使用密码认证。密码总有被猜到、被破解的风险。你必须为root用户生成SSH密钥对，并将公钥放到root用户的

~/.ssh/authorized_keys

/etc/ssh/sshd_config

PermitRootLogin yes

PasswordAuthentication no

这样，即使你的root密码泄露了，没有私钥，也无法登录。私钥本身也应该有强密码保护。

2. 限制IP访问： 如果你的root远程登录只用于特定的、已知的IP地址，那么你可以在SSH配置文件中，使用

AllowUsers

AllowUsers root@192.168.1.100

这比简单的

PermitRootLogin yes

3. 使用

fail2ban

fail2ban

4. 更改默认SSH端口： 前面也提到了，把SSH端口从22改成一个不常用的端口，能减少很多自动化的骚扰。虽然这不是安全措施的“核心”，但能让你少操很多心。

5. 保持系统和SSH服务更新： 任何软件都可能存在漏洞。定期更新你的Linux系统和SSH服务，可以确保你使用的是最新、最安全的版本，修补已知的安全漏洞。

坦白讲，即使做了这些，启用root远程登录仍然是一个需要谨慎对待的行为。我个人觉得，如果不是绝对必要，或者你对安全加固有足够的信心和经验，最好还是坚持使用普通用户+

sudo

以上就是Linux如何启用root用户远程登录的详细内容，更多请关注php中文网其它相关文章！