如何禁止root用户远程登录

方法1：可以在/etc/default/login文件，增加一行设置命令：CONSOLE=/dev/tty01
这样设置后立即生效,无需重新引导，不过，这样做的同时也限制了局域网用户root登录，给管理员的日常维护工作带来诸多不便。
方法2：为了达到限制root远程登录，我们首先要分清哪些用户是远程用户（即是否通过另一台Windows系统或UNIX系统进行telnet登录），哪些用户是局域网用户。通过以下shell程序能达到此目的：
TY=`tty|cut-b9-12`
WH=`finger|cut-b32-79|grep"$TY"|cut-b29-39`
KK=`tty|cut-b6-9`
If["$KK"="ttyp"]
then
WH=$WH
else
WH="local"
fi
以上Shell命令程序中，WH为登录用户的主机IP地址，但如果在/etc/hosts文件中，定义了IP地址和机器名之间的对应关系，则WH为用户登录的主机名。假设连接到局域网中的终端服务器的IP地址为：
99573218,那么应在/etc/hosts文件中加入一行：
99573218terminal_server
所有通过99573218终端服务器登录到主机的终端中，WH是同一个值，即为终端服务器名terminal_server。
可以在root的profile文件中，根据WH值进行不同的处理，从而实现限制root远程登录。
Trap123915
If["$WH"="local"-o"$WH"="terminal_server"]
then
echo"Welcome"
else
exit
fi
方法3：有时也要允许局域网中部分电脑root登录,如允许局域网中IP地址为99573258的电脑root登录，实现的话需要在上述方法中，作两点补充：
1在/etc/hosts文件中，加入一行：99573258xmh。
2在上述Shell程序段中，将If["$WH"="local"-o"$WH"="terminal_server"]修改为If["$WH"="local"-o"$WH"="terminal_server"-o"$WH"="xmh"]
方法4：如果经过以上处理后，仍存在普通用户登录后用su命令变成root用户的可能，从而达到root远程登录的目的。
这样，为了防止用这种方法实现root远程登录，需要限制普通用户不能执行su命令：将su命令属主改为root或者将su命令的权限改为700

这方法很容易，主要就是设置安全策略，可以指定IP远程登陆，这样你可以指定你们公司的IP来登陆就可以了，具体方法文字长太，我就不一下跟你介绍了，我可以百度中查“指定IP远程登陆服务器“如果没有找到的话，可以短信我，我发地址给你 可以去壹佰网络 上面看看，他们专业搞服务器，有这类文章说明！！希望可以帮到你

答1:
每一台客户机都可以访问对方的网络账户。要阻止这种事情发生，把本地管理员账户名称改为用户不知道的其它名称。这很容易做到，简单地通过组策略就可以实现。我还要修改域控制器和工作站账户。这将迫使每一个人都使用分配给他们的域用户账户。如果你要查看谁试图访问这个账户，你可以创建一个虚假的、关闭功能的管理员账户，并把这个账户用于安全登录的目的。">这听起来好像是所有这些系统都是使用同样的用户名和口令创建的。我倾向于认为他们在使用“管理员”用户名。而且，如果这个“管理员”账户在这两台计算机上都有，并且这个账户的口令是“p@ssw0rd”，每一台客户机都可以访问对方的网络账户。要阻止这种事情发生，把本地管理员账户名称改为用户不知道的其它名称。这很容易做到，简单地通过组策略就可以实现。我还要修改域控制器和工作站账户。这将迫使每一个人都使用分配给他们的域用户账户。如果你要查看谁试图访问这个账户，你可以创建一个虚假的、关闭功能的管理员账户，并把这个账户用于安全登录的目的。
答2:
我会检查域安全政策和本地安全政策。确认每一个人都加入了这个域，而且你的许可没有限制。用户必须获得批准才能访问这个域和资源。你在管理工具中能够发现大多数这些内容。删除在XP主机中的工作组PC(输入域名系统前缀并且选择“改变域名系统前缀”)。
答3:
要限制本地登录，你可以使用组策略。有一种安全设置可以在组策略中进行设置。阅读微软知识库中编号823659的文章可以了解这种设置方法。
你还可以修改NTFS(新技术文件系统)安全设置来控制最终用户访问的文件/文件夹。设置这个功能，这样只有获得批准的域的未经授权的用户能够访问你认为可以访问的内容。
如果你知道正在使用的用户名和口令是什么，修改这些用户名和口令。如果这是本地计算机管理员的账户，有许多可用的脚本能够很方便地进行这种修改。共2页。
答4:
你好像有一个像工作组一样工作的域。如果你拥有这个权限，创建一个与本地账户名称不同的域账户。然后，然后关闭用来绕过域安全措施的任何域账户(或者至少要修改口令)，强制用户使用他们的域账户。你需要确认用户必须使用他们自己的域账户访问他们在服务器上需要的资源。
然而，要记住，我在推测工作站是域成员。一旦用户开始使用域账户登录，你就可以使用组和策略来管理他们。
对于记录来说，DHCP服务器是什么设备都没有关系，只要它能够提供合适的地址和你的环境选项就行。路由器对于一个单个的子网是一种合理的选择。由于路由器没有硬盘，路由器可能会比服务器更可靠。
答5:
我是这样做的。首先，进入“开始”->“程序”->“管理工具”->域控制器安全策略。然后进入安全选项。
下一步，验证如下两个项目:
网络接入:允许“每一个人”申请匿名用户--->关闭。
网络接入:不允许匿名列举存储域管理账户和共享--->打开。
选择这两个选项应该能够纠正匿名访问问题。
最后，我会验证这些用户登录使用的本地账户与你的预的账户不一样，或者是你域控制器本地的账户。如果你让他们相同的话，这些用户名可以是一样的。但是，你必须确认口令是不同的，而且用户不知道这个口令是什么。因此，如果这些用户名是相同的，域将提示用户输入口令。遗憾的是Windows仅证实用户名，不验证这种安全识别符号。按照这些步骤应该能够解决你的服务器的未经授权的访问难题。

何防范非法用户入侵的“七招”。
第一招：屏幕保护
　第二招：巧妙隐藏硬盘 关闭共享
第三招：禁用“开始”菜单命令
第四招：桌面相关选项的禁用
　1)隐藏桌面的系统图标
2)禁止对桌面的某些更改
第五招：禁止访问“控制面板”
第六招：设置用户权限
当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行：
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。
3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。
第七招：文件夹设置审核
Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：
1)在组策略窗口中，逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支，然后在该分支下选择“审核策略”选项。
2)在右侧窗口中用鼠标双击“审核对象访问”选项，在d出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记，然后单击“确定”按钮。
3)用鼠标右键单击想要审核的文件或文件夹，选择d出菜单的“属性”命令，接着在d出的窗口中选择“安全”标签。
　4)单击“高级”按钮，然后选择“审核”标签。
5)根据具体情况选择你的 *** 作：

---