可插拔认证模块 （简称PAM ）是Linux系统上集中，可插拔，模块化和灵活的认证方法。 PAM通过/lib/security/pam_listfile.so模块，可以极大地灵活地限制特定帐户的权限。

上述模块可用于引用不允许通过某些目标服务（如login，ssh和任何PAM感知程序）登录的用户列表。

在这种情况下，我们希望通过限制对login和sshd服务的访问来禁用对系统的root用户访问。 首先在/etc/pam.d/目录中打开并编辑目标服务的文件，如图所示。

接下来，在两个文件中添加以下配置。

完成后，保存并关闭每个文件。 然后创建普通文件/etc/ssh/deniedusers ，每行应包含一个项目，而不是世界可读的。

在其中添加名称root，然后保存并关闭它。

还要为此设置所需的权限。

此方法仅影响支持PAM的程序和服务。 您可以通过ftp和电子邮件客户端等阻止对系统的root访问。

有关更多信息，请参阅相关手册页。