PermitRootLogin的可选项

/etc/ssh/sshd_config文件是用来限制root的登录的,目前(Debian10目前版本是7.9)支持的选项有yes, without-password, rohibit-password, forced-commands-only, no.

选项说明

  • yesno很明确了,就是允许/禁止登录

  • without-password 允许root登录, 登录方式限制为”除输入的密码方式外”

  • prohibit-password 这个选项是7.0之后添加的选项, 算是without-password的alias, 目的是消除without-password的歧义(字面易误解为不用密码直接登录).

    PermitRootLogin now accepts an argument of ‘prohibit-password’ as a less-ambiguous synonym of ‘without-password’.

  • forced-commands-only是个比较独特的选项, 当设置了之后, root用户只允许密钥方式登录, 且只能执行指定的命令(authorized_keys文件command参数指定, 可设置为脚本), 适用定期root用户登录且执行特定指令的场景

存疑

目前我知道的登录方式只有密码和密钥两种, without-password让我产生怀疑, 难道还有第三种方式? 又或者这样的方式只是为了扩展?

参考