permitrootlogin怎么把"permitrootlogin without-password"注释掉

linux中user用户可以登录，但是root用户不能登录是什么原因？

因为登录方式被限制了，如sshd里的配置可能限制了root就是不能从远程登录，解决方法如下： 1、首先用root去登录系统。 2、adduser test 增加一个普通用户，创建用户test要给test设置密码，passwd test，密码根据自己情况来设置。 3、vim ?/etc/ssh/ssh_config?修改sshd配置文件,把?PermitRootLogin yes?改为?PermitRootLogin no ?保存并退出。 4、修改完ssh_config完成，重启sshd ?service sshd restart 。 5、在通过Xshell去连接服务器，发现root用户就禁止登陆了。 6、把登陆ssh用户修改成test和刚才设置的密码，再去连接，这次就可以连接上了，再通过su去切换成root用户，这样一样可以用root用户的权限。

linux的ssh怎么设置的

配置客户端的软件 OpenSSH 有三种配置方式：命令行参数、用户配置文件和系统级的配置文件（"/etc/ssh/ssh_config"）。命令行参数优先于配置文件，用户配置文件优先于系统配置文件。所有的命令行的参数都能在配置文件中设置。因为在安装的时候没有默认的用户配置文件，所以要把 "/etc/ssh/ssh_config"拷贝并重新命名为"~/.ssh/config"。 标准的配置文件大概是这样的： [lots of explanations and possible options listed] # Be paranoid by default Host * ForwardAgent no ForwardX11 no FallBackToRsh no 还有很多选项的设置可以用"man ssh"查看"CONFIGURATION FILES"这一章。 配置文件是按顺序读取的。先设置的选项先生效。 假定你在 上有一个名为"bilbo"的帐号。而且你要把"ssh-agent"和"ssh-add"结合起来使用并且使用数据压缩来加快传输速度。因为主机名太长了，你懒得输入这么长的名字，用"fbc"作为" "的简称。你的配置文件可以是这样的： Host *fbc HostName User bilbo ForwardAgent yes Compression yes # Be paranoid by default Host * ForwardAgent no ForwardX11 no FallBackToRsh no 你输入"ssh fbc"之后，SSH会自动地从配置文件中找到主机的全名，用你的用户名登录并且用"ssh-agent"管理的密匙进行安全验证。这样很方便吧！ 用SSH连接到其它远程计算机用的还是"paranoid（偏执）"默认设置。如果有些选项没有在配置文件或命令行中设置，那么还是使用默认的"paranoid"设置。 在我们上面举的那个例子中，对于到 的SSH连接："ForwardAgent"和"Compression"被设置为 "Yes"；其它的设置选项（如果没有用命令行参数）"ForwardX11"和"FallBackToRsh"都被设置成"No"。 其它还有一些需要仔细看一看的设置选项是： l CheckHostIP yes 这个选项用来进行IP地址的检查以防止DNS欺骗。 l CompressionLevel 压缩的级别从"1"（最快）到"9"（压缩率最高）。默认值为"6"。 l ForwardX11 yes 为了在本地运行远程的X程序必须设置这个选项。 l LogLevel DEBUG 当SSH出现问题的时候，这选项就很有用了。默认值为"INFO"。 配置服务端的软件 SSH服务器的配置使用的是"/etc/ssh/sshd_config"配置文件，这些选项的设置在配置文件中已经有了一些说明而且用"man sshd"也可以查看帮助。请注意OpenSSH对于SSH 1.x和2.x没有不同的配置文件。 在默认的设置选项中需要注意的有： l PermitRootLogin yes 最好把这个选项设置成"PermitRootLogin without-password"，这样"root"用户就不能从没有密匙的计算机上登录。把这个选项设置成"no"将禁止"root"用户登录，只能用"su"命令从普通用户转成"root"。 l X11Forwarding no 把这个选项设置成"yes"允许用户运行远程主机上的X程序。就算禁止这个选项也不能提高服务器的安全因为用户可以安装他们自己的转发器（forwarder），请参看"man sshd"。 l PasswordAuthentication yes 把这个选项设置为"no"只允许用户用基于密匙的方式登录。这当然会给那些经常需要从不同主机登录的用户带来麻烦，但是这能够在很大程度上提高系统的安全性。基于口令的登录方式有很大的弱点。 l # Subsystem /usr/local/sbin/sftpd 把最前面的＃号去掉并且把路径名设置成"/usr/bin/sftpserv"，用户就能使用"sftp"（安全的FTP）了（sftpserv在 sftp 软件包中）。因为很多用户对FTP比较熟悉而且"scp"用起来也有一些麻烦，所以"sftp"还是很有用的。而且2.0.7版本以后的图形化的ftp工具"gftp"也支持"sftp"。

破解的网络密钥部分网络被限制或禁止访问！跪求解决办法！

入侵监测系统攻击及口令破解只要你连上互联网，你就会发现：总有一些系统在那儿每天24小时都在试图通过22号端口访问你的计算机，其目的是突破你的SSH口令保护。如果你检查一下网络中与互联网直接相连的任何系统中的/var/log/auth.log文件，很快你就会发现，在这个文件的末尾会出现如下的内容： NOV 05 9:03:12 local_host sshd[6906]: error: PAM: authentication error for root from remote_host其实，为降低这种攻击的影响范围，我们可以做的事情有许多。我们完全可以减少由这种盲目攻击所造成的损害。例如，就目前的技术水平而言，一个足够复杂的口令就很难破解。当然，任何复杂的口令最终都能够被破解，不过这种可能性也许要花费一个世纪才能完成。 另一个方法是简单配置SSH，使之在另外一个端口上监听，而不是22号端口。例如，可以使其监听1138号端号。为此，可以简单地改变/etc/ssh/sshd_config文件的端口行，以显示你想使用的新端口号，而且在从一个远程系统连接时，要确保使用这个端口号。在编辑完毕后，sshd_config的这一行看起来应是如下这个样子： Port 1138这种方法可以提供额外一层的安全性，使普通的恶意破坏份子难以发现你拥有一个开放的SSH端口。OpenSSH容许采用基于密钥的认证而不是口令认证，这就进一步地限制了这种别有用心的攻击，这正如我们可以配置一个防火墙，使其拒绝除被列入优良者名单的所有连接企图。 也许最普遍的、最有效的限制强力攻击的方法是简单地禁止通过SSH对根的访问。也许你想远程登录，然后执行需要根的访问权的管理任务，不过你还要保障其他人不能通过强力的口令破解攻击直接获得对你系统的访问权。 当然，你还可以容许其它的账户通过SSH访问你的系统。借助于sudu或su，你可以获得对根的访问。因为自动化的攻击难于猜测到一个未知用户的账户名称及其口令，而且，事实上多数攻击者绝对不会试着猜测除根用户之外的其它用户的口令，主要原因在于：由于采取这种简单的措施，你的系统在面对这种自动化的攻击时，安全性得到了极大的提升。如果你不允许一般用户账户使用sudu或su来获得对根的访问，情况尤其如此。你可以指定一个特别的管理员账户，使其对系统拥有很有限的特权,不过一定要有一个其它非根账户没有的特权：通过su或sudu执行管理任务的能力，这种任务可拥有对根的特权。 但是，一旦你已经不接受通过SSH对根的访问，你就会选择安排可管理的访问，其实，允许从远程对根的访问的情况很少。要禁用通过SSH直接登录到根用户，需要再次编辑ssdh_config文件，将PermitRootLogin设置为“no”： PermitRootLogin no有一些操作系统，如FreeBSD将其作为默认值。其它的系统，如多数的Linux发行版本并非如此。任何用户都应该检查其选择的操作系统，在决定自己的系统安然无恙之前，首先要决定其默认的PermitRootLogin设置

secureCRT 连接 Ubuntu出现这种情况怎么办

方法一： 1. vi服务器端的/etc/ssh/sshd_config 2. 把PasswordAuthentication设成yes 3. 重启ssh服务 方法二： 1.vi服务器端的/etc/ssh/sshd_config 2.找到#PermitRootLogin no将其修改为PermitRootLogin yes 方法三： 1.查看sshd是否正确在运行 stat -anp | grep sshd 2.如果没有运行使用 service sshd restart 重启服务 方法四： 1.客户端使用 ssh -v root@192.168.0.120 查看登陆信息 2.提示“Permission denied, please try again.” 3.查看防火墙 #/etc/init.d/iptables status 如果22端口被限制则无法登陆。 放开端口22 #/sbin/iptables -I INPUT -p tcp –dport 22 -j ACCEPT #/etc/rc.d/init.d/iptables save

如何修改sshd config

SH-Server配置指南 一、SSH简介 SSH （Secure Shell）是一个应用程序中提供安全通信的协议，通过SSH协议可以安全地访问服务器，因为SSH 具有成熟的公钥加密体系，在数据进行传输时进行加密，保证数据在传输时不被恶意篡改、破坏和泄露，能有效防止网络嗅探和IP欺骗等攻击。 二、服务器端Ubuntu平台下OpenSSH server的安装 SSH是由芬兰的一家公司开发的，但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件，而且是的。 下以命令均是以管理员身份登录使用 1． 在Ubuntu终端使用apt命令 复制代码 代码如下: # apt-get install openssh-server 如果下载失败，可能是由于系统需要更新的缘故，尝试更新一下，就可以了。使用一下命令： 复制代码 代码如下: # apt-get update 2. 配置openssh server，可以按照需求修改配置文件 复制代码 代码如下: # vi etc/ssh/ssh_config 3． 重启服务器 复制代码 代码如下: # /etc/init.d/ssh restart 以上OpenSSH server就算安装完成。 配置“/etc/ssh/ssh_config”文件 “/etc/ssh/ssh_config” 文件是OpenSSH系统范围的配置文件，允许你通过设置不同的选项来改变客户端程序的运行方式。这个文件的每一行 包含“关键词－值”的匹配，其中“关键词”是忽略大小写的。下面列出来的是最重要的关键词，用man命令查看帮助页（ssh (1)）可以得到 详细的列表。 编辑“ssh_config”文件（vi /etc/ssh/ssh_config），添加或改变下面的参数： 复制代码 代码如下: # Site-wide defaults for various options Host * ForwardAgent no ForwardX11 no RhostsAuthentication no RhostsRSAAuthentication no RSAAuthentication yes PasswordAuthentication yes FallBackToRsh no UseRsh no BatchMode no CheckHostIP yes StrictHostKeyChecking no IdentityFile ~/.ssh/identity Port 22 Cipher blowfish EscapeChar ~ 下面逐行说明上面的选项设置： Host * 选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 ForwardAgent no “ForwardAgent”设置连接是否经过验证代理（如果存在）转发给远程计算机。 ForwardX11 no “ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY set）。 RhostsAuthentication no “RhostsAuthentication”设置是否使用基于rhosts的安全验证。 RhostsRSAAuthentication no “RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。 RSAAuthentication yes “RSAAuthentication”设置是否使用RSA算法进行安全验证。 PasswordAuthentication yes “PasswordAuthentication”设置是否使用口令验证。 FallBackToRsh no “FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。 UseRsh no “UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。 BatchMode no “BatchMode”如果设为“yes”，passphrase/password（交互式输入口令）的提示将被禁止。当不能交互式输入口令的时候，这个选项对脚本 文件和批处理任务十分有用。 CheckHostIP yes “CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。 StrictHostKeyChecking no “StrictHostKeyChecking”如果设置成“yes”，ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件，并且一旦计算机的密 匙发生了变化，就拒绝连接。 IdentityFile ~/.ssh/identity “IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。 Port 22 “Port”设置连接到远程主机的端口。 Cipher blowfish “Cipher”设置加密用的密码。 EscapeChar ~ “EscapeChar”设置escape字符。 配置“/etc/ssh/sshd_config”文件 “/etc/ssh/sshd_config”是OpenSSH的配置文件，允许设置选项改变这个daemon的运行。这个文件的每一行包含“关键词－值”的匹配，其中 “关键词”是忽略大小写的。下面列出来的是最重要的关键词，用man命令查看帮助页（sshd (8)）可以得到详细的列表。 编辑“sshd_config”文件（vi /etc/ssh/sshd_config），加入或改变下面的参数： 复制代码 代码如下: # This is ssh server systemwide configuration file. Port 22 ListenAddress 192.168.1.1 HostKey /etc/ssh/ssh_host_key ServerKeyBits 1024 LoginGraceTime 600 KeyRegenerationInterval 3600 PermitRootLogin no IgnoreRhosts yes IgnoreUserKnownHosts yes StrictModes yes X11Forwarding no PrintMotd yes SyslogFacility AUTH LogLevel INFO RhostsAuthentication no RhostsRSAAuthentication no RSAAuthentication yes PasswordAuthentication yes PermitEmptyPasswords no AllowUsers admin 下面逐行说明上面的选项设置： Port 22 “Port”设置sshd监听的端口号。 ListenAddress 192.168.1.1 “ListenAddress”设置sshd服务器绑定的IP地址。 HostKey /etc/ssh/ssh_host_key “HostKey”设置包含计算机私人密匙的文件。 ServerKeyBits 1024 “ServerKeyBits”定义服务器密匙的位数。 LoginGraceTime 600 “LoginGraceTime”设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以秒为单位）。 KeyRegenerationInterval 3600 “KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）。重新生成密匙是为了防止用盗用的密匙解密被 截获的信息。 PermitRootLogin no “PermitRootLogin”设置root能不能用ssh登录。这个选项一定不要设成“yes”。 IgnoreRhosts yes “IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。 IgnoreUserKnownHosts yes “IgnoreUserKnownHosts”设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的“$HOME/.ssh/known_hosts” StrictModes yes “StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的，因为新手经常会把自己的 目录和文件设成任何人都有写权限。 X11Forwarding no “X11Forwarding”设置是否允许X11转发。 PrintMotd yes “PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。 SyslogFacility AUTH “SyslogFacility”设置在记录来自sshd的消息的时候，是否给出“facility code”。 LogLevel INFO “LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页，已获取更多的信息。 RhostsAuthentication no “RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够了。 RhostsRSAAuthentication no “RhostsRSA”设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。 RSAAuthentication yes “RSAAuthentication”设置是否允许只有RSA安全验证。 PasswordAuthentication yes “PasswordAuthentication”设置是否允许口令验证。 PermitEmptyPasswords no “PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。 AllowUsers admin “AllowUsers”的后面可以跟着任意的数量的用户名的匹配串（patterns）或user@host这样的匹配串，这些字符串用空格隔开。主机名可以是 DNS名或IP地址。 使用SFTP代替FTP传输文件 FTP(文件传输协议)是一种使用非常广泛的在网络中传输文件的方式，但是，它也同样存在被网络窃听的危险，因为它也是以明文传送用户认证信息。其实在SSH软件包中，已经包含了一个叫作SFTP(Secure FTP)的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。若要开启 SFTP功能可以修改sshd2_config文件的下列内容： 复制代码 代码如下: # subsystem-sftp sftp-server 去掉行首的“#”，然后重新启动SSH服务器，这样在进行SSH连接时就可以同时使用SFTP传输文件。 关于客户端设置 以上是对服务器的设置，其实在SSH服务器中已经包含了一些客户端工具（如SSH,SFTP工具）。但是，更多的客户端用户使用Windows系统，下 面就对Windows上的客户端系统设置加以说明。 首先从上文给出的网址下载“SSHSecureShellClient-3.2.3.exe”文件并安装。安装完成后，在桌面上会产成两个快捷方式，一个是“SSH Secure Shell Client”，用于远程管理，另一个是“SSH Secure File Transfer Client”，用于和服务器进行文件传输。在工具栏中点击 “quick connnect”，输入正确的主机名和用户名，然后在弹出的对话框中输入密码完成登录，即可开始执行命令或者传输文件。在使用SFTP 时，默认只能显示用户的宿主目录的内容和非隐藏文件。但是，有时候您可能还要查看其它目录或者隐藏文件，这时只需要在菜单“eidt- >setting-> file transfer”的选项中选中“show root directory”和“show hidden file”两个选项即可。 使普通用户仅使用SFTP而没有使用Shell的权限 默认情况下管理员给系统添加的账号将同时具有SFTP和SSH的权限。让普通用户使用shell执行命令也是有很大的安全隐患的，如果能够禁止用 户使用shell执行命令而仅使用SFTP传输文件，就能消除这种安全隐患，完全实现FTP的功能， 正如上文所述，SFTP没有单独的守护进程，只能借助于sshd守护进程，所以我们仍然需要使用SSH服务器，要保证sshd守护进程处于运行状态。 具体实现方法如下： 首先，在编译安装时，编译中一定要有“–enable-static” 选项。安装成功后，在安装目录下的bin目录中执行下面的命令： 复制代码 代码如下: [root@localhost bin]# ls -l ssh-dummy-shell* sftp-server2* 将看到下列输出内容： 复制代码 代码如下: -rwxr-xr-x 1 root root 1350417 Apr 28 16:30 sftp-server2 -rwxr-xr-x 1 root root 3566890 Apr 28 16:30 sftp-server2.static -rwxr-xr-x 1 root root 72388 Apr 28 16:30 ssh-dummy-shell -rwxr-xr-x 1 root root 1813412 Apr 28 16:30 ssh-dummy-shell.static 其中带“static”后缀名，且比较大的两个文件就是加上“–enable-static”选项后生成的，后面我们将用到这里两个文件。 下面以添加普通账号test为例讲述具体操作步骤。 1．在“/home”目录（或者将要存放普通用户宿主目录的目录）下创建“bin”子目录，并将两个static文件复制到此目录下（复制后改名去掉static后缀），执行如下命令： 复制代码 代码如下: [root@localhost bin]# cd /usr/local/ssh3.2/bin [root@localhost bin]#cp ssh-dummy-shell.static /home/bin/ssh-dummy-shell [root@localhost bin]# cp sftp-server2.static /home/bin/sftp-server [root@localhost bin]#chown -R root.root /home/bin [root@localhost bin]#chmod -R 755 /home/bin 2．添加一个组，使以后所有禁止使用shell的用户都属于这个组，这样便于管理更多的用户： [root@localhost bin]#groupadd template 3．在添加系统账号时使用如下命令： 复制代码 代码如下: [root@localhost root]#useradd -s /bin/ssh-dummy-shell -g template test [root@localhost root]#passwd test [root@localhost root]#mkdir /home/test/bin [root@localhost root]#cd /home/test/bin [root@localhost bin]#ln /home/bin/ssh-dummy-shell ssh-dummy-shell [root@localhost bin]#ln /home/bin/sftp-server sftp-server [root@localhost bin]#chown -R root.root /home/test/bin [root@localhost bin]#chmod -R 755 /home/test/bin 3．用户添加成功后，还需要修改/etc/ssh2/sshd2_config文件，将下列内容： #ChRootGroups sftp,guest 改为： ChRootGroups sftp,guest,template 修改上面这行内容，主要是为了禁止普通用户查看系统的其它目录，把其权限限制在自己的主目录下。重新启动SSH服务器程序，在客户端使用SSH Secure File Transfer Client登录，即使选择显示根目录，普通用户也看不到其它的任何目录，而是把自己的主目录当作根目录。注意，这里使用的是按用户所属组限制，这样可以使包含在template组内的所有用户都可以实现此功能。若您只要限制个别用户的话，可以修改下面的内容： 复制代码 代码如下: #ChRootUsers anonymous,ftp,guest

怎么把"permitrootlogin without-password"注释掉

//登录管理员root账户.平时希望大家只用普通用户登录，必要时候切换到root.... exit即可退出root.... 为了节省系统资源，我决定在windows端下ssh远程登录...毕竟虚拟机图形界面占用资源比较的大.. 跟着我一起摇摆..... sudo apt-get install openssh-server sudo ps -e |grep ssh-->回车-->有sshd,说明ssh服务已经启动，如果没有启动，输入"sudo service ssh start"-->回车-->ssh服务就会启动.使用gedit修改配置文件"/etc/ssh/sshd_config"打开"终端窗口"，输入"sudo gedit/etc/ssh/sshd_config"-->回车-->把配置文件中的"PermitRootLoginwithout-password"加一个"#"号,把它注释掉-->再增加一句"PermitRootLogin yes"-->保存，修改成功。