之前在Ubuntu上吃過虧，因此我偏向于為root賬戶設(shè)置密碼，root賬戶讓我充滿著對機器的掌控感。但暴露在公網(wǎng)的服務(wù)器，安全畢竟十分重要，因此按照安全建議在部分重要機器上禁止了root賬戶遠程登錄，改用普通用戶+sudo提權(quán)模式。

使用一段時間后，發(fā)現(xiàn)禁用root賬戶并沒有帶來太多安全性提升，反而會導(dǎo)致日常管理十分不便。這也讓我反思如何才是禁用root賬戶的正確方式？

經(jīng)過一番思考，個人得出禁用root的場景：

桌面環(huán)境使用；例如在個人電腦上安裝桌面版的Ubuntu、Debian、Fedora等系統(tǒng)日常使用，推薦不創(chuàng)建root賬戶；
多人使用的工作站、服務(wù)器環(huán)境，并且自己也作為普通用戶進行日常使用。
其實上面場景的核心是：平時會以普通用戶身份使用Linux，因此禁用root賬戶是推薦的，不必記住兩套密碼。

而以下場景則無須禁用root賬戶，否則scp上傳等操作會帶來額外的麻煩：

Linux系統(tǒng)只有你一個人用，并且用作服務(wù)器，做的都是服務(wù)器管理和運維操作；
多人使用場景下，你是運維/管理員，不會以普通身份使用服務(wù)器。
沒必要禁用root賬戶核心點是，服務(wù)器的管理/運維人員，不會以普通身份使用服務(wù)器。因為維護服務(wù)器相對來說使用次數(shù)較少，每次使用幾乎都要運行特權(quán)命令。

當(dāng)然，無論是否禁用root賬戶，以下安全操作是推薦的：

有條件的情況下將服務(wù)器隔離，使用跳板機或者VPN登錄；
暴露于公網(wǎng)環(huán)境的服務(wù)器，修改默認的22端口；
暴露于公網(wǎng)的服務(wù)器，修改為密鑰登錄或者密碼加Google authenticator/短信/token二次授權(quán)登錄；
服務(wù)器重要數(shù)據(jù)做好備份。

參考文章：

su和sudo命令的區(qū)別

Linux如何禁止修改密碼