命令方式
要修改一个已经存在的用户，执行这个命令：

usermod -s /sbin/nologin 

对新用户，可以使用这个命令：

useradd -s /sbin/nologin 
/bin/false是最严格的禁止login选项，一切服务都不能用。而/sbin/nologin只是不允许login系统，但可以使用其他ftp等服务。
直接修改/etc/passwd
把/bin/bash修改为/sbin/nologin

上面命令作用也是修改这个文件

　　在DB2中为其他人新建一个账号，只允许读取某些视图，但是DB2的账号要和操作系统的账号一致，为了尽量减少此账号的权限，需要禁止通过shell登录操作系统，只允许读取数据库的某些视图。
1、禁止个别用户登录。比如禁止lynn用户登录。
passwd -l lynn
这就话的意思是锁定lynn用户，这样该用户就不能登录了。
passwd -u lynn
对锁定的用户lynn进行解锁，用户可登录了。
PS:如果锁定，DB2也无法登陆了。
2、我们通过修改/etc/passwd文件中用户登录的shell
vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
lynn:x:500:500::/home/lynn:/bin/bash
更改为：
lynn:x:500:500::/home/lynn:/sbin/nologin
该用户就无法登录了。
3、禁止所有用户登录。
touch /etc/nologin
除root以外的用户不能登录了。

LINUX管理用户登录权限，禁止用户登录

 

1、禁止个别用户登录。比如禁止 user 用户登录。

passwd  -l  user

这就话的意思是锁定user用户，这样该用户就不能登录了。

passwd  -u  user

对锁定的用户user进行解锁，用户可登录了。

2、通过修改 /etc/passwd 文件中用户登录的shell

vim /etc/passwd

找到user这个用户（或者是你选定的用户）

user:500:500::/home/lynn:/bin/bash

更改为：

lynn:x:500:500::/home/lynn:/sbin/nologin

/bin/false是最严格的禁止login选项，一切服务都不能用。
	
/sbin/nologin只是不允许login系统，但可以使用其他ftp等服务。
3、禁止所有用户登录。

touch /etc/nologin

除root以外的用户不能登录了。

 

        本文的Linux操作系统运行在Cortex-A8的硬件之上，其为我们公司的一款产品，为了保护产品的安全，我们限制了root用户的本地登录和远程登录权限。

        一、禁止root本地登录：

                方法： 在/etc 目录下创建文件 securetty,即 touch    /etc/securetty

                原因：本地登录login会读取文件/etc/login.defs， 该文件65 - 70行的内容如下

               # If defined, either full pathname of a file containing device names or  a ":" delimited list of device names.  Root logins will be allowed only  upon these devices.

               CONSOLE        /etc/securetty

               #CONSOLE    console:tty01:tty02:tty03:tty04

               创建securetty文件即可。该段英文释义本人不是很理解，希望能看懂的朋友解释一下。

        二、禁止root远程登录：

              1. 首先考虑目标板能够被远程登录是使用了ssh服务，本产品已经有ssh服务，故不需要移植，若没有ssh服务还需要移植。

               2.本产品移植的ssh服务为dropbear， 它是一款轻量级的ssh服务

               3.方法：该服务是由脚本启动，查看/etc/init.d/dropbear 文件，发现第77行对应root登录权限，且最后参数为1， 将其改为0发现正好实现了功能，将

             # F) root login                                        

            config_get_bool val "${section}" RootLogin 1

            修改为

            # F) root login                                        

            config_get_bool val "${section}" RootLogin 0        

           启动ssh服务：

               /etc/init.d/dropbear restart 

            即可。

               若ssh服务为openssh，则在/etc/ssh/sshd_config文件下将

               #PermitRootLogin yes  

               改为

               PermitRootLogin no

               即可

综上为限制root用户本地登录和远程登录的方法。