在Ubuntu Server中,默认禁止root用户通过SSH直接登录,以增强系统安全性。当尝试使用root账户远程登录时,会出现“Permission denied”错误。该问题的根源在于SSH服务配置文件中禁用了root登录权限。解决方法是编辑`/etc/ssh/sshd_config`文件,将`PermitRootLogin`参数由`prohibit-password`或`no`修改为`yes`,然后重启SSH服务(`systemctl restart sshd`)。但建议结合密钥认证提升安全性,避免密码暴力破解风险。修改前应确保已设置强密码或配置好SSH密钥,并谨慎评估安全影响。
1条回答 默认 最新
Nek0K1ng 2025-12-12 08:59关注一、问题背景与现象描述
在Ubuntu Server的默认安全策略中,出于对系统安全性的高度考量,root用户被禁止通过SSH直接远程登录。这一机制有效降低了因弱密码或暴力破解导致服务器被入侵的风险。当管理员尝试使用
ssh root@server_ip进行连接时,系统会返回“Permission denied, please try again.”或直接拒绝连接。该行为并非网络故障或账户锁定所致,而是由SSH守护进程(sshd)的配置文件主动限制了root用户的登录权限。核心控制参数位于
/etc/ssh/sshd_config中的PermitRootLogin指令。配置值 含义说明 安全性等级 no 完全禁止root登录 高 prohibit-password 禁止密码方式登录,允许密钥认证 较高 without-password 同prohibit-password 较高 yes 允许root通过密码或密钥登录 低 二、诊断流程与分析方法
面对“Permission denied”错误,首先应排除常见误操作:
- 确认输入的用户名是否为
root而非普通用户 - 检查SSH端口是否正确(默认22)及防火墙规则是否放行
- 验证目标主机SSH服务是否正常运行:
systemctl status ssh
接下来进入核心排查阶段:
- 登录到服务器本地或通过控制台访问
- 查看SSH配置文件内容:
sudo cat /etc/ssh/sshd_config | grep PermitRootLogin - 若输出为
PermitRootLogin no或prohibit-password,则说明root登录受限 - 进一步检查是否有其他ACL机制如PAM模块或fail2ban干扰登录行为
三、解决方案实施步骤
修改SSH配置以启用root登录需谨慎操作,建议按以下流程执行:
# 1. 备份原始配置文件 sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak # 2. 编辑配置文件 sudo nano /etc/ssh/sshd_config # 3. 找到并修改如下行: PermitRootLogin yes # 或更安全的选择: PermitRootLogin prohibit-password4. 保存更改后重启SSH服务:
sudo systemctl restart sshd5. 测试从远程终端使用root账户登录:
ssh root@your_server_ip四、安全加固建议与最佳实践
尽管开启root登录可简化运维操作,但必须配套更强的安全措施。以下是推荐的组合策略:
graph TD A[启用root SSH登录] --> B{选择认证方式} B --> C[仅允许SSH密钥登录] B --> D[设置高强度密码] C --> E[禁用密码认证 PasswordAuthentication no] D --> F[启用fail2ban防爆破] E --> G[定期审计/var/log/auth.log] F --> G G --> H[最小权限原则:优先使用sudo]具体实施要点包括:
- 配置SSH密钥对,并将公钥部署至
/root/.ssh/authorized_keys - 设置
PasswordAuthentication no防止密码试探 - 结合
AllowUsers root明确授权账户范围 - 启用日志监控:
journalctl -u ssh -f实时观察登录尝试 - 考虑使用Port knocking、非标准端口或IP白名单增强隐蔽性
- 定期更新系统和OpenSSH软件包,防范已知漏洞
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享- 确认输入的用户名是否为
- 2024-09-18 00:24Roc-xb的博客 code-server 是一个开源项目,它允许你在浏览器中运行 Visual Studio Code。通过 code-server,你可以远程访问一个运行 Visual Studio Code 的...本章教程,在wsl2环境中的ubuntu上安装code-server进行演示如何使用。
- 2020-12-04 18:01百里杨的博客 Ubuntu在命令行模式下,是可以登录root的。 为了安全,在图形界面模式下,默认不允许使用root登录系统。 可以通过修改50-unity-greeter.conf文件,使其允许root登录。 gedit /usr/share/lightdm/lightdm.conf.d/50-...
- 2025-08-18 15:59学亮编程手记的博客 完成以上步骤后,root 用户即可通过 SSH 远程登录。请根据实际需求调整安全策略。输入设置的 root 密码登录。
- 2024-11-06 16:58以优秀为目标,向更优秀前行的博客 直接使用上述命令安装时下载速度较慢,因此,可以通过使用USTC(中国科学技术大学)镜像源加速下载,首先通过如下两个命令设置镜像源。...3.在Ubuntu中安装rust编程语言。2.安装rust所需的编译器。5.验证rust安装。
- 2021-10-19 11:04一只不会编程的小渣渣的博客 一、开启root用户 sudo passwd root 二、修改配置文件 2.1 sudo vi /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 增加 greeter-show-manual-login= true 2.2 sudo vi /etc/pam.d/gdm-autologin 注释掉auth ...
- 2022-09-24 19:17这通常包括:禁用不必要的服务,限制root用户直接登录,使用防火墙(如ufw或iptables)控制入站流量,定期更新系统以修复安全漏洞,并配置强密码策略。 此外,Ubuntu Server上的服务管理是通过Systemd实现的。你...
- 2021-01-02 14:59运维密码的博客 当开启安装Ubuntu按钮后,会短暂出现如下只显示logo的图形界面,此时可以默认不操作,则会直接进入下面步骤2的语言选择界面。 而需要其它特殊操作,可在上面界面快速按F5键,就会出现一个语言选择界面。按ESC键就...
- 2020-09-15 15:29Ubuntu Server 11.10作为一个稳定且用户友好的Linux发行版,是搭建LAMP环境的理想选择。以下是整个安装过程的关键步骤: 1. **防火墙配置**: 在开始安装LAMP之前,确保服务器的安全至关重要。Ubuntu Server默认不...
- 2021-01-19 15:16weixin_39709367的博客 1、首先用root用户登录mysqlmysql -u root -p输入密码后登录成功2、新建用户use mysql;select host,user from user;(查看现有用户)CREATE USER 'king'@'localhost' IDENTIFIED BY '';(新建用户);select host,user ...
- 2021-01-30 11:42软实力英语的博客 Q: 当在另一台机器上登录MysqL时出现如下错误:ERROR 2003 (HY000): Can't connect to MysqL server on 'x.x.x.x' (111)A: 原因是MysqL考虑到安全因素,默认配置只让从本地登录打开 /etc/MysqL/my.cnf 文件,找到 ...
- 没有解决我的问题, 去提问
问题事件
已采纳回答 12月13日
创建了问题 12月12日