| De parameter in het OpenSSH-serverconfiguratiebestand (`/etc/ssh/sshd_config`) die bepaalt of root-login met wachtwoordauthenticatie is toegestaan, is `PermitRootLogin`.
Om root login met een wachtwoord toe te staan, zou je dit op `yes` zetten:
```
PermitRootLogin ja
```
Om veiligheidsredenen wordt het echter ten zeerste afgeraden om root-login met wachtwoordauthenticatie in te schakelen. Het maakt uw server veel kwetsbaarder voor brute-force-aanvallen. Het is het beste om:
1. Schakel wachtwoordauthenticatie volledig uit (`Wachtwoordauthenticatie nee`)
2. Gebruik SSH-sleutels voor authenticatie
3. Als u root-login moet toestaan, gebruik dan `PermitRootLogin verbodswachtwoord` . Hierdoor is root-login *alleen* mogelijk met SSH-sleutels, maar wordt dit uitgeschakeld met wachtwoorden.
Hier volgt een overzicht van de aanbevolen instellingen:
* Beste praktijk (meest veilig):
```
PermitRootLogin verbodswachtwoord # of "nee"
Wachtwoordauthenticatie nee # Wachtwoordverificatie algemeen uitschakelen
```
* Als je *echt* een wachtwoordverificatie nodig hebt voor root (niet aanbevolen):
```
PermitRootLogin ja
WachtwoordAuthenticatie ja
```
Nadat u wijzigingen heeft aangebracht in `sshd_config`, MOET u de SSH-service opnieuw opstarten om de wijzigingen door te voeren:
``` bash
sudo systemctl restart sshd # Op systemd-systemen (de meeste moderne Linux)
sudo service ssh restart # Op oudere sysvinit-systemen
```
Belangrijke beveiligingsoverwegingen:
* Brute-force-aanvallen: Door wachtwoordverificatie voor root in te schakelen, wordt uw server een gemakkelijk doelwit voor geautomatiseerde aanvallen die proberen het rootwachtwoord te raden.
* SSH-sleutels: SSH-sleutels bieden een veel veiligere manier om te authenticeren. Ze zijn cryptografisch sterk en vrijwel onmogelijk met brute kracht te gebruiken.
* sudo: Een beter alternatief voor direct root-login is om in te loggen als een gewone gebruiker en `sudo` te gebruiken om opdrachten uit te voeren waarvoor root-privileges nodig zijn. Dit biedt een audittrail en beperkt de potentiële schade als een aanvaller het gebruikersaccount in gevaar brengt.
Samenvattend:hoewel `PermitRootLogin ja' technisch gezien root-login met een wachtwoord toestaat, moet u het gebruik ervan vermijden en prioriteit geven aan het gebruik van SSH-sleutels en het uitschakelen van wachtwoordauthenticatie. Als u root login moet toestaan, gebruik dan `PermitRootLogin verbodswachtwoord` om het gebruik van alleen SSH-sleutels af te dwingen. |
