Отключить доступ по ssh от имени «root», но?

Question

[Вячеслав Кордиенко]

Всем Привет!

Вопрос до боли тривиален.

Но возникла такая потребность:

Есть пользователи в группе ROOT (0), и собственно сам root включен.

Собственно отключение root"а:
в "/etc/ssh/sshd_config" ставил "PermitRootLogin no".

Но остальные юзеры с правами root и из группы root не могут подключаться по ssh и sftp

Как сделать так, чтобы был отключен ssh только для пользователя root, а остальные из группы root могли подключаться по ssh и sftp ?

Comments

[Николай Романович]

А какой тогда смысл от сего действа ?

[V A]

Николай Романович: удобнее управлять файлами и редактировать их через Sftp,

Answer 1

[Данил Бирюков-Романов]

Никак.

Root определяется по ID равному 0, а не по имени пользователя.
PermitRootLogin запрещает доступ именно пользователю с ID 0

Answer 2

[Saboteur]

Удаляете пароль у пользователя root
запрещаете заходить под пользователем root
Настраиваете нужным пользователям sudo

Все. Каждый заходит под собой, если нужно - пользуется sudo, а сам root как отдельный интерактивный юзер не нужен, он нужен только чтобы init запустить

Comments

[Николай Романович]

sudo не всегда лучшее решение. Лучше уж su или machinectl shell

[Saboteur]

эм. su не дает рутовых привилений. А пароль от рута мы удалили. Так что sudo

[sazhyk]

Это далеко не первый подобный вопрос здесь, и снова автор не совсем верно сформузировал вопрос. Из того описания задачи, что вы дали, лучше оставить руту пароль позаковыристей (если боитесь что юзеры подберут его, меняйте чаще,ну или логи авторизации смотрите), отключить ему логин по ssh, и пользовать утилиту su. Я только совсем не понимаю смысла этих действий. Что вы хотите добиться? Какие ставите залачи? Попробуйте где-нибудь в каментах к самому вопросу дать более развернутый вопрос. Вом и помогут быстрее и задача ваша решится правильно с большей вероятностью.
Зы: извините если резковато получилось.

[Вячеслав Кордиенко]

sazhyk:
Тут скорее для удобства, мне удобнее пользоваться sftp, редактировать, копировать и пр.
Через терминал работать, у меня глазки болят, если честно

[sazhyk]

Вячеслав Кордиенко: тогда я совсем ничего не понял. Какие задачи можно решать по sftp, чтобы без root'а никак? Вы сформулируйте задачу конкретнее - вам ответят.

[Saboteur]

Вячеслав Кордиенко: "Через терминал работать, у меня глазки болят, если честно"

Может быть вы не пытались настроить putty с нормальным размером шрифтов?
Гонять файлы по sftp только чтобы их подправить, вместо того, чтобы править их сразу на сервере - не есть best practice

Answer 3

[CityCat4]

Давать нескольким юзерам ID 0 - это хак и вообще адЬ с точки зрения ИБ. Используйте sudo, а логин рутом должен запрещаться сразу же после установки системы и настройки sudo, потому что несколько юзеров с ID 0 это примерно то же, что всей семьей работать на винде под единственной учеткой Administrator и потом удивляться, что это систему переставляем раз в месяц, а все равно глючит...