答案:通过 useradd 创建用户并设置权限,利用 AllowUsers/DenyUsers 控制访问,配置密钥认证并禁用密码登录,定期审计日志与用户状态,提升 ssh 安全性。
在 linux 中进行 SSH 用户管理,主要是通过控制用户访问权限、配置 SSH 服务以及维护密钥认证来保障系统安全。正确管理 SSH 用户能有效防止未授权访问,同时方便合法用户的远程登录。
创建和限制 SSH 用户
新用户可通过 useradd 命令创建,并设置独立的家目录和 shell 环境:
为增强安全性,可将某些用户限制为仅用于文件传输(SFTP),禁止 shell 登录:
- 修改 /etc/passwd 中该用户的 shell 为 /usr/sbin/nologin 或/bin/false
- 或使用 sftp-only 组配合 SSH 配置实现
配置 SSH 访问控制
编辑 /etc/ssh/sshd_config 文件可精细控制哪些用户能通过 SSH 登录:
- 允许特定用户:AllowUsers alice bob
- 禁止某些用户:DenyUsers test guest
- 按组控制:AllowGroups ssh-access,再将用户加入对应组
修改后需重启 SSH 服务:sudo systemctl restart sshd
使用 SSH 密钥认证代替密码
推荐禁用密码登录,改用 SSH 密钥提高安全性:
- 用户生成密钥对:ssh-keygen -t rsa -b 4096
- 公钥上传至服务器的~/.ssh/authorized_keys
- 确保目录和文件权限正确:
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys - 在 sshd_config 中关闭密码验证:PasswordAuthentication no
定期维护与审计
保持 SSH 用户管理的有效性需要定期检查:
- 查看当前登录用户:who 或 w
- 检查登录日志:sudo tail /var/log/auth.log(ubuntu/debian)或 secure(centos/RHEL)
- 删除不再需要的用户:sudo userdel -r username
- 禁用临时用户时可使用 passwd -l username 锁定账户
基本上就这些。合理规划用户权限,结合密钥认证和访问控制列表,就能在不影响使用便利性的前提下,大幅提升 SSH 服务的安全性。
