怎样禁止阿里云服务器通过控制台重置 root 密码？

这个估计做不到，不过你可以直接禁止 root 用户登陆，修改 root 的 shell 为 nologin 禁止本地登陆,禁止 root ssh 登陆，禁止 su 和 sudo su 切换到 root 。

BTW:
你想禁止重置密码的原因是什么，我闻到了一丝 x-y problem 的味道
https://coolshell.cn/articles/10804.html

设置一下 luks 落盘加密？

# passwd -d root
你试试把
我觉得够呛

如果你因为不信任云厂商而想将云厂商修改服务器密码的能力去掉，这不现实，云厂商有着直接读取磁盘的能力，即使设置了全盘加密，而执法机构要求云厂商配合将服务器解密，云厂商还是可以 dump 内存的。可信计算可以解决这个问题的，除此之外，还可以将自己的服务器托管到一个你信任的环境（云以及执法）下。：）
如果你担心账户被攻破殃及账户下的服务器，攻击者除了用 root 登录，还可以直接进入恢复环境，或者直接把云盘卸下来挂载到其他服务器上。

@lookas2001 想问下，加密磁盘之后，对以后的运行数据读写效率上有没有影响？

@henvm 肯定是有的，而且可能不小，具体多少看情况。

干掉系统内部 aliyun-service aegis_update aegis_client

@yezhiqiucn 那自己上传个 ISO 文件安装的系统，是不是没有这个服务？

把阿里云的 agent 全部干掉就可以了

@stillyu
@pmispig
你们都没重置过密码嘛?

重设置 ROOT 密码的逻辑和你什么系统无关的, Linux 系统基本都通用
他是直接维护盘引导启动, 然后挂载你的 VPS 文件系统分区,在修改的

独立服务器也支持自动修改密码 就是标准的自动化 IPMI / DHCP / PXE 启动维护盘
自动修改密码, 很多都支持了已经

然后写个脚本，每次启动后重置 root 密码。它不管怎么改，密码还是存在系统里的……

然后你脚本挂了写了一堆乱码进去，哈哈哈哈

@ohao 原来用的这个姿势啊，牛逼牛逼，楼主可以把 root 用户干掉换个其他的名字，他应该是根据用户名修改的吧

netboot 装个新系统

换 windows

https://www.jiloc.com/44541.html

这种一键 DD 更换系统可以试一下 换成你喜欢的系统 这样阿里云就彻底管理不到你了

/etc/securetty 这个文件全部注释即刻

@yezhiqiucn 实际上自己 dd 干净系统最好，阿里云盾等阿里内置服务会扫你文件

统一回复一下，安装 Ubuntu 的时候用 Encrypted LVM 格式化整个系统即可，或者为 /etc 分一个 luks 加密分区。

@nightwitch
@wangyzj
不是禁止 root 登录，也不是禁止 root ssh，我已经禁止了 root 直接登录，只允许 sudo 。

@lookas2001
这是唯一靠谱的。亲测可用

@wangyzj
这个只能清空一次 root 密码。我要实现的是

@tadtung
@yezhiqiucn
@pmispig
@Greatshu
@mm2x
没用。我直接重装干净的系统的，但是这个功能不依赖于安骑士什么的实现，估计是直接改文件系统，所以没用。我之前发过关于 netboot 重装系统的帖子了……

@ohao
似乎是这样的……全盘加密后就无法重置密码了。

@rrfeng
这个方法有点 dirty ……

@lookas2001
说的在理，作为个人没有必要担心 dump 内存这种事情……
一开始是的确是担心账户被攻破殃及账户下的服务器，后来想想禁用了这个也没啥用，还不如开 F2A 验证。
不过研究一下也挺有趣的。

麻烦楼主搞清楚一件事情，云计算厂商拥有服务器的所有权，它仅仅是租用计算资源给你，服务器所有权并不是你的，请务必认真的阅读以下云计算机厂商向你提供服务的授权协议。在租给你计算资源的同时，云厂商有监控计算资源不被滥用的权力，能从控制台重置密码是这种权力的一部分，你如果真的通过某种方式，让控制台重置密码功能失灵，云厂商是可以以以你入侵控制计算机系统的罪名收回你的服务器并且起诉你的，建议不要用这种会给自己惹来麻烦的行为，既然这么反感这个东西，不用云服务器就好