本文主要介绍：

1. 如何禁止普通用户切换到root
2. 如何禁止使用root远程登录

1. 禁止普通用户切换到root

普通用户可以通过两个命令切换到root，包括：

sudo -i
su - xxx

以及一个伪切换sudo -s

1.1 sudo -i和sudo -s的区别

• sudo -i：这个命令会加载用户的.profile, .bash_profile 或 .login文件，并切换到目标用户的home目录，通常是root用户的目录。这允许用户以root用户的完整环境运行命令，包括所有的环境变量和配置。因此，当使用sudo -i时，用户会获得一个类似于登录root用户的环境，包括root的环境变量。

yurq@yurq:~$ sudo -i
root@yurq:~# env
SHELL=/bin/bash
SUDO_GID=1000
LANGUAGE=zh_CN:zh
JAVA_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202
JRE_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/lib
SUDO_COMMAND=/bin/bash
SUDO_USER=yurq
PDSH_RCMD_TYPE=ssh
PWD=/root
LOGNAME=root
HOME=/root
LANG=zh_CN.UTF-8
HADOOP_USER_NAME=hadoop
LESSCLOSE=/usr/bin/lesspipe %s %s
TERM=xterm
HADOOP_HOME=/home/hadoop/workspace/hadoop-2.7.7
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
ZOOKEEPER_HOME=/home/hadoop/workspace/apache-zookeeper-3.7.1-bin
DISPLAY=localhost:10.0
SHLVL=1
SPARK_HOME=/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin:/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/bin:/home/hadoop/workspace/hadoop-2.7.7/bin:/home/hadoop/workspace/hadoop-2.7.7/sbin:/home/hadoop/workspace/apache-zookeeper-3.7.1-bin/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/sbin
SUDO_UID=1000
MAIL=/var/mail/root
_=/usr/bin/env
root@yurq:/home/yurq# id
用户id=0(root) 组id=0(root) 组=0(root)

• sudo -s：这个命令不会加载用户的配置文件，也不会切换到目标用户的home目录。它只是提供一个没有加载用户特定配置的root shell。这意味着，虽然用户可以在这个shell中执行命令，但不会享受到完整的root环境，例如不会加载root的环境变量。这通常会带来一些问题，比如xjjdog用户下设置了自己的一套环境变量，当使用 su -s 切换到超级管理员权限，依然使用的是xjjdog的环境变量。这样，就会发生找不到命令，语言错误，甚至配置错误的结果。

yurq@yurq:~$ sudo -s
root@yurq:/home/yurq# env
SHELL=/bin/bash
SUDO_GID=1000
LANGUAGE=zh_CN:zh
SUDO_COMMAND=/bin/bash
SUDO_USER=yurq
PWD=/home/yurq
LOGNAME=root
HOME=/root
LANG=zh_CN.UTF-8
...
LESSCLOSE=/usr/bin/lesspipe %s %s
TERM=xterm
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
DISPLAY=localhost:10.0
SHLVL=1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
SUDO_UID=1000
MAIL=/var/mail/root
_=/usr/bin/env
root@yurq:/home/yurq# id
用户id=0(root) 组id=0(root) 组=0(root)

1.2 sudo -i和直接登录root账号的区别

• 直接登录root：‌意味着用户完全切换到了root的身份和环境，‌拥有对系统的完全控制权。‌这种做法通常只在必要时才应该进行，‌因为它可能会带来安全风险，‌因为任何在root用户环境下进行的操作都可能对系统造成不可逆的影响。‌

使用sudo -i相比直接登录为root，‌提供了更高的安全性。‌因为即使是以root权限运行命令，‌用户也仍然在自己的用户环境中，‌这减少了误操作或恶意软件对系统的潜在损害。‌此外，‌sudo命令的使用记录会被详细记录在日志中，‌这对于追踪潜在的安全威胁或系统故障非常有用

root@yurq:~# env
SHELL=/bin/bash
LANGUAGE=zh_CN:zh
JAVA_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202
JRE_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/lib
PDSH_RCMD_TYPE=ssh
PWD=/root
LOGNAME=root
XDG_SESSION_TYPE=tty
MOTD_SHOWN=pam
HOME=/root
LANG=zh_CN.UTF-8
HADOOP_USER_NAME=hadoop
LESSCLOSE=/usr/bin/lesspipe %s %s
XDG_SESSION_CLASS=user
TERM=xterm
HADOOP_HOME=/home/hadoop/workspace/hadoop-2.7.7
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
ZOOKEEPER_HOME=/home/hadoop/workspace/apache-zookeeper-3.7.1-bin
DISPLAY=localhost:10.0
SHLVL=1
SPARK_HOME=/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7
XDG_SESSION_ID=15
XDG_RUNTIME_DIR=/run/user/0
SSH_CLIENT=192.168.79.1 61751 22
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/bin:/home/hadoop/workspace/hadoop-2.7.7/bin:/home/hadoop/workspace/hadoop-2.7.7/sbin:/home/hadoop/workspace/apache-zookeeper-3.7.1-bin/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/sbin
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/0/bus
SSH_TTY=/dev/pts/0
_=/usr/bin/env

1.3 禁止sudo -i切换root

sudo命令的配置文件是/etc/sudoers和/etc/sudoers.d/，可以在/etc/sudoers.d目录中单独配置用户的sudo命令限制，类似vsftp单独配置每个账号

ubuntu默认普通用户是无法切换root的

lvdd@yurq:~$ sudo -i
[sudo] lvdd 的密码：
lvdd 不在 sudoers 文件中。此事将被报告。

我们可以通过修改/etc/sudoers或/etc/sudoers.d/进行配置，但是一般来说不能通过vim直接修改，因为默认无权限，即使是root

root@yurq:~# ll /etc/sudoers
-r--r----- 1 root root 917 7月  24 11:39 /etc/sudoers

这里linux给我们提供了visudo命令，专门用于修改这个文件，不过虽然看起来像是vi命令，实际上是nano编辑器进行修改的。新增内容如下

root@yurq:~# grep lvdd /etc/sudoers
lvdd    ALL=(ALL:ALL) ALL

关于/etc/sudoers的编写格式，网上有很多讲解，这里不展开了

lvdd@yurq:~$ sudo -i
[sudo] lvdd 的密码：
root@yurq:~# 

sudo -i切换root需要输入当前用户的密码。改完了直接就生效了。

ubuntu如果禁止sudo -i可以切换用户，那么就要看看这个配置文件是否对普通用户进行了特殊配置。

这里我们改回去，在/etc/sudoers.d目录中配置用户信息

root@yurq:~# grep lvdd /etc/sudoers
#lvdd    ALL=(ALL:ALL) ALL#切换终端
lvdd@yurq:~$ sudo -i
lvdd 不在 sudoers 文件中。此事将被报告。

新增配置文件lvdd

root@yurq:/etc/sudoers.d# cat lvdd
lvdd    ALL=(ALL:ALL) ALL#切换终端
lvdd@yurq:~$ sudo -i
root@yurq:~#

又可以切换了。

1.4 禁止su - root切换root

lvdd@yurq:~$ su - root
密码：
root@yurq:~# 

前面提到sudo -切换root需要输入当前用户的密码，使用su - 切换root需要输入root密码。这个看起来像一个伪命题，因为我们都知道root密码了，还切换干嘛，不如直接登录了。实际上后面将提到，通过ssh登录，即使知道root密码，也可以禁止登录。毕竟大多数时候，我们都接触不到物理机。这里我们只研究可行性，暂时不讨论合理性。

这里简单介绍以下su命令带不带参的区别

• su：‌这个命令允许用户切换到其他用户，‌但它不会加载目标用户的环境变量。‌这意味着，‌当你使用su命令切换到另一个用户时，‌你实际上是在当前用户的环境中运行目标用户的shell，‌而不是在目标用户的环境中运行。‌
• su -：‌这个命令允许用户切换到另一个用户，‌并且会加载目标用户的环境变量。‌当你使用su -命令切换到另一个用户时，‌你会在目标用户的环境中运行，‌这意味着你会获得该用户所有的环境变量和配置。‌
• su -c：‌这个命令允许你在切换到另一个用户的同时执行一个命令，‌然后立即返回到原始用户。‌这意味着你可以以其他用户的身份运行一个命令，‌而不需要实际切换到那个用户。‌例如，‌如果你想要以root用户的身份运行一个命令，‌但不想切换到root用户，‌你可以使用su -c 'command'的形式来执行。‌

lvdd@yurq:~$ su -c "tail -1 /etc/passwd" root
密码：
lvdd:x:1001:1007::/home/lvdd:/bin/bash

这里有多种方法禁止su切换到root，基本上大同小异，笔者列举两种方法：

方法一 修改su的权限

root@yurq:/etc/sudoers.d# ll /bin/su
-rwsr-xr-x 1 root root 67816 4月   9 23:34 /bin/su*
root@yurq:/etc/sudoers.d# chmod 750 /bin/su
root@yurq:/etc/sudoers.d# ll /bin/su
-rwxr-x--- 1 root root 67816 4月   9 23:34 /bin/su*

lvdd@yurq:~$ su - root
-bash: /usr/bin/su: 权限不够
lvdd@yurq:~$ su - yurq
-bash: /usr/bin/su: 权限不够

这样可以仅允许root用户和所属组的用户使用su命令，其他用户将无法使用。改回原来的权限

root@yurq:/etc/sudoers.d# chmod 4755 /bin/su
root@yurq:/etc/sudoers.d# ll /bin/su
-rwsr-xr-x 1 root root 67816 4月   9 23:34 /bin/su*

方法二 修改认证条件

root@yurq:/etc/sudoers.d# grep auth /etc/pam.d/su
auth       sufficient pam_rootok.so debug
auth       required   pam_wheel.so group=wheel

这样设置后，‌只有wheel组的成员才能使用su -命令切换到root用户。‌

lvdd@yurq:~$ su - root
密码：
su: 认证失败

添加组及修改用户附加组

root@yurq:/etc/sudoers.d# groupadd wheel
root@yurq:/etc/sudoers.d# usermod -G wheel lvdd

lvdd@yurq:~$ su - root
密码：
root@yurq:~#

lvdd又可以愉快的切换root了。

到这里ubuntu系统就可以禁止或允许普通用户通过su进行切换root了，不过有的系统可能还需要作如下修改

修改/etc/login.defs文件，‌在文件末添加一行SU_WHEEL_ONLY yes，‌这样配置后，‌非wheel组的用户即使输入了正确的密码，‌也无法通过su -命令切换到root用户。‌

这里关于认证模块，可以参考linux PAM模块简介

2. 禁止root远程登录

前面说到了知道root密码，还使用普通用户切换root干什么？直接登录不好么。其实有些情况下，即使知道root密码也不可以通过远程登录。这里包括通过ssh进行命令行登录和远程桌面登录，下面我们分别进行说明

2.1 ssh禁止root登录

我们通过修改ssh的配置文件/etc/ssh/sshd_config，禁止root登录

root@yurq:/etc/sudoers.d# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin prohibit-password

可以看到ubuntu默认是禁止root使用密码登录的。

 PermitRootLoginSpecifies whether root can log in using ssh(1).  The argument must be yes, prohibit-password, forced-commands-only, or no.  The default isprohibit-password.

查看帮助，可以知道PermitRootLogin 选项的值包括：

参数类别	是否允许ssh登陆	登录方式	交互shell
yes	允许	没有限制	没有限制
prohibit-password (without-password)	允许	除密码以外	没有限制
forced-commands-only	允许	仅允许使用密钥	仅允许已授权的命令
no	不允许	N/A	N/A

改成yes就可以登录了

root@yurq:/etc/sudoers.d# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin yes

ssh配置文件简介，这篇文章很详细的介绍了sshd_config

2.2 禁止远程桌面登录

ubuntu系统root默认是无法远程桌面的，所以要禁止，先开启

1. 修改文件/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf文件，增加两行：

sudo vi /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf greeter-show-manual-login=true 
all-guest=false 

2. 进入/etc/pam.d目录，修改gdm-autologin和gdm-password文件

vi gdm-autologin 
#注释掉auth required pam_succeed_if.so user != root quiet_success这一行，保存 
vi gdm-password 
#注释掉 auth required pam_succeed_if.so user != root quiet_success这一行，保存

3. 修改/root/.profile文件

sudo vi /root/.profile 
#将文件末尾的mesg n || true这一行修改成tty -s&&mesg n || true， 保存

4. 重启系统，输入root用户名和密码，登录系统。
5. root自动登录

vim /etc/gdm3/custom.conf
#将[daemon]
AutomaticLoginEnable=True
AutomaticLogin=root
#设置为root用户自动登录

可以根据以上配置，对已开启允许root的远程桌面的系统进行限制。当然不同的系统，不同的桌面系统配置可能不同，此处仅以ubuntu的gnome桌面为例进行说明。