Почитать man sshd_config на предмет опций, в которые входит логин суперпользователя. Но раз ты о таком спрашиваешь, то тебе, скорее всего, лучше не трогать ничего, иначе тебя выломают как ребёнка.
Нормальные адекватные люди админы (даже локалхоста) никогда не разрешают удалённый логин рута.
логиниться рутом
если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра
если админ той машинки ты, то ковыряй конфиг sshd
а вообще - никогда так не делай!
> если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра
Не то, чтобы это была вот прямо дыра. Просто на один пароль меньше подбирать, чем если поломать пользователя. А уж если пользователю sudo su доступен, то, и вовсе, без разницы. Основное удобство в нехождении под root - это если админов более одного, можно понять, кто что где делал, если разбор полётов нужен. А дыра - это возможность перебора паролей по ssh, как таковая. Всего-то надо recent задействовать в iptables, это если нельзя доступ по ip ограничить.
sudo - дыра!
потому не место ему на нормальной машине
su - от него профита ноль
после логина юзера весь трафик шифруется
если кому хоца разбираться в этом - пусть - тут ни ключи ни запреты тогда не спасут
Просто на один пароль меньше подбирать, чем если поломать пользователя.
Для начала еще логин угадать надо :)
А уж если пользователю sudo su доступен, то, и вовсе, без разницы.
Хватит sudo bash с тем же паролем, что у пользователя, а не рута. Поэтому, как всегда, повторю: криво настроенное sudo - отличная дырища в системе. Лучше его вообще не ставить. Физически. Хватит su.
а как его можно криво настроить? дать всем выполнять все?
у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля. но кого-попало в эту группу я не включаю =)
Например, прописать кому-нибудь ALL=(ALL) NOPASSWD: ALL, или прописать ALL=(ALL) ALL, не указав, что в качестве пароля должен использоваться пароль рута, а не пользователя.
И вообще, по-человечески, sudo нафиг не нужен: если какой-то программкой (например, mount) должны пользоваться непривилегированные пользователи, достаточно или найти ей замену (fuse и т.п.), или поставить suid-бит.
у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля.