答案:通过useradd创建用户并设置权限,利用AllowUsers/DenyUsers控制访问,配置密钥认证并禁用密码登录,定期审计日志与用户状态,提升ssh安全性。
在linux中进行SSH用户管理,主要是通过控制用户访问权限、配置SSH服务以及维护密钥认证来保障系统安全。正确管理SSH用户能有效防止未授权访问,同时方便合法用户的远程登录。
创建和限制SSH用户
新用户可通过useradd命令创建,并设置独立的家目录和shell环境:
为增强安全性,可将某些用户限制为仅用于文件传输(SFTP),禁止shell登录:
- 修改/etc/passwd中该用户的shell为/usr/sbin/nologin或/bin/false
- 或使用sftp-only组配合SSH配置实现
配置SSH访问控制
编辑/etc/ssh/sshd_config文件可精细控制哪些用户能通过SSH登录:
- 允许特定用户:AllowUsers alice bob
- 禁止某些用户:DenyUsers test guest
- 按组控制:AllowGroups ssh-access,再将用户加入对应组
修改后需重启SSH服务:sudo systemctl restart sshd
使用SSH密钥认证代替密码
推荐禁用密码登录,改用SSH密钥提高安全性:
- 用户生成密钥对:ssh-keygen -t rsa -b 4096
- 公钥上传至服务器的~/.ssh/authorized_keys
- 确保目录和文件权限正确:
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys - 在sshd_config中关闭密码验证:PasswordAuthentication no
定期维护与审计
保持SSH用户管理的有效性需要定期检查:
- 查看当前登录用户:who 或 w
- 检查登录日志:sudo tail /var/log/auth.log(ubuntu/debian)或 secure(centos/RHEL)
- 删除不再需要的用户:sudo userdel -r username
- 禁用临时用户时可使用passwd -l username锁定账户
基本上就这些。合理规划用户权限,结合密钥认证和访问控制列表,就能在不影响使用便利性的前提下,大幅提升SSH服务的安全性。