Linux需不需要禁用root賬戶？

很早之前就看過關(guān)于Linux安全建議的文章，其中有一條便是：禁用root賬戶，平時使用普通賬號，必要時通過sudo命令獲取root權(quán)限(或者至少禁用root的ssh登錄，登錄后再用sudo或者su切換到root)。

之前在Ubuntu上吃過虧，因此我偏向于為root賬戶設(shè)置密碼，root賬戶讓我充滿著對機器的掌控感。但暴露在公網(wǎng)的服務器，安全畢竟十分重要，因此按照安全建議在部分重要機器上禁止了root賬戶遠程登錄，改用普通用戶+sudo提權(quán)模式。

使用一段時間后，發(fā)現(xiàn)禁用root賬戶并沒有帶來太多安全性提升，反而會導致日常管理十分不便。這也讓我反思如何才是禁用root賬戶的正確方式？

經(jīng)過一番思考，個人得出禁用root的場景：

桌面環(huán)境使用；例如在個人電腦上安裝桌面版的Ubuntu、Debian、Fedora等系統(tǒng)日常使用，推薦不創(chuàng)建root賬戶；
多人使用的工作站、服務器環(huán)境，并且自己也作為普通用戶進行日常使用。
其實上面場景的核心是：平時會以普通用戶身份使用Linux，因此禁用root賬戶是推薦的，不必記住兩套密碼。

而以下場景則無須禁用root賬戶，否則scp上傳等操作會帶來額外的麻煩：

Linux系統(tǒng)只有你一個人用，并且用作服務器，做的都是服務器管理和運維操作；
多人使用場景下，你是運維/管理員，不會以普通身份使用服務器。
沒必要禁用root賬戶核心點是，服務器的管理/運維人員，不會以普通身份使用服務器。因為維護服務器相對來說使用次數(shù)較少，每次使用幾乎都要運行特權(quán)命令。

當然，無論是否禁用root賬戶，以下安全操作是推薦的：

有條件的情況下將服務器隔離，使用跳板機或者VPN登錄；
暴露于公網(wǎng)環(huán)境的服務器，修改默認的22端口；
暴露于公網(wǎng)的服務器，修改為密鑰登錄或者密碼加Google authenticator/短信/token二次授權(quán)登錄；
服務器重要數(shù)據(jù)做好備份。

參考文章：

su和sudo命令的區(qū)別

Linux如何禁止修改密碼