通过设置用户Shell为/sbin/nologin或/bin/false限制登录;2. 配置/etc/ssh/sshd_config禁止root登录、指定允许或拒绝用户、禁用密码认证;3. 利用PAM模块结合/etc/security/access.conf实现细粒度访问控制;4. 通过用户组与sudo规则分配最小必要权限,保障系统安全。
在linux系统中管理用户登录权限,核心是控制谁可以登录系统以及如何登录。这涉及用户账户配置、SSH访问控制、shell限制和PAM模块等多种机制。合理设置能有效提升系统安全性。
限制用户是否可登录
通过修改用户的登录Shell来控制其能否登录系统。将用户的Shell设为 /sbin/nologin 或 /bin/false 可阻止其获得交互式登录权限,但不影响该用户运行服务。
使用 usermod 命令修改:
usermod -s /sbin/nologin username
这样用户仍可用于执行后台任务(如运行Web服务),但无法通过终端或SSH登录。
控制SSH远程登录权限
编辑SSH服务配置文件 /etc/ssh/sshd_config 来限制远程访问。
常用配置包括:
- 禁止root远程登录:PermitRootLogin no
- 只允许特定用户登录:AllowUsers alice bob
- 拒绝某些用户登录:DenyUsers tom
- 禁用密码登录,仅用密钥:PasswordAuthentication no
修改后需重启SSH服务生效:systemctl restart sshd
使用PAM模块进行细粒度控制
PAM(Pluggable Authentication Modules)提供灵活的认证控制方式。可通过 /etc/pam.d/sshd 或 /etc/pam.d/login 配置登录规则。
例如,结合 /etc/security/access.conf 文件实现基于用户或组的访问控制:
– : ALL EXCEPT wheel : ALL
这表示只允许wheel组成员登录,其他用户一律拒绝。记得在PAM配置中启用access模块:
account required pam_access.so
管理用户组与sudo权限
通过用户组分配权限更便于管理。将用户加入特定组,再通过sudo规则控制其可执行的操作。
编辑sudoers文件使用visudo:
visudo
添加规则如:
%developers ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx
这样developers组成员可免密重启nginx服务,但不能执行其他特权命令。
基本上就这些。关键是根据实际需求组合使用Shell限制、SSH配置、PAM和sudo规则,做到最小权限原则,既保障安全又不妨碍必要操作。