创建独立用户账户、配置sshd_config限制权限、使用密钥认证并限制登录来源。首先,通过useradd创建用户并设置密码与sudo权限;其次,编辑/etc/ssh/sshd_config禁用root登录、启用密钥认证并限制允许登录的用户或组;然后配置用户ssh密钥并严格设置.ssh目录和authorized_keys文件权限;最后重启ssh服务并结合防火墙进一步限制访问来源ip,确保安全性。
Linux系统上配置多用户SSH登录,本质上就是创建和管理系统账户,并利用SSH服务自身的灵活配置能力,来控制这些账户的远程访问权限。这不仅涉及到账户的建立,更深层次地,是如何在开放远程访问的同时,筑牢安全防线,避免不必要的风险暴露。在我看来,这更像是在给你的数字领地划分不同的入口和权限,既要方便合法访客,又要严防不速之客。
要让多个用户能通过SSH登录你的Linux服务器,核心步骤包括用户创建、SSH服务配置以及权限管理。我通常会这么操作:
创建系统用户: 这是基础中的基础。每个需要SSH登录的人都应该有自己的独立系统账户。
sudo useradd -m -s /bin/bash newuser # -m 创建家目录,-s 指定默认shell sudo passwd newuser # 设置用户密码,密码一定要复杂!
如果需要这个用户有sudo权限,可以将其加入sudo组(在Debian/Ubuntu是sudo组,CentOS/RHEL是wheel组):
sudo usermod -aG sudo newuser # 或者 usermod -aG wheel newuser
配置SSH守护进程 (sshd_config):
这是控制SSH行为的关键文件,通常位于/etc/ssh/sshd_config。编辑这个文件时,我总是小心翼翼,毕竟改错了可能就登不进去了。
禁止Root用户直接登录: 这是我个人觉得最重要的一条。Root权限太高,直接登录风险极大。
PermitRootLogin no
这样,即使要用root权限,也得先用普通用户登录,再su -或sudo -i切换。
选择认证方式:
我强烈推荐使用密钥认证(PubkeyAuthentication yes),然后关闭密码认证(PasswordAuthentication no)。密码认证虽然方便,但容易被暴力破解,而密钥对的安全性高出不止一个量级。
PubkeyAuthentication yes PasswordAuthentication no # 强烈推荐,但如果你必须用密码登录,就保持 yes
如果选择密钥认证,记得确保AuthorizedKeysFile指向正确的位置,默认是%h/.ssh/authorized_keys,通常不用改。
限制可登录用户或组:
如果你只想让特定用户或特定组的用户登录,可以使用AllowUsers或AllowGroups。我经常用这个来收紧权限,比如只允许开发组的人SSH登录。
AllowUsers user1 user2 # 只允许user1和user2登录 # 或者 AllowGroups developers # 只允许developers组的用户登录
注意,AllowUsers和AllowGroups是互斥的,通常只用其中一个。如果两者都配置了,只有同时满足的用户才能登录。
配置用户SSH密钥(如果使用密钥认证):
让用户在本地生成SSH密钥对(ssh-keygen),然后将公钥内容添加到服务器上对应用户的~/.ssh/authorized_keys文件中。
# 在用户自己的电脑上生成密钥 ssh-keygen -t ed25519 -C "your_email@example.com" # 将公钥复制到服务器 ssh-copy-id newuser@your_server_ip # 或者手动复制: # scp ~/.ssh/id_ed25519.pub newuser@your_server_ip:/tmp/ # 然后在服务器上: # mkdir -p /home/newuser/.ssh # cat /tmp/id_ed25519.pub >> /home/newuser/.ssh/authorized_keys # chmod 700 /home/newuser/.ssh # chmod 600 /home/newuser/.ssh/authorized_keys # chown -R newuser:newuser /home/newuser/.ssh
权限设置非常关键,~/.ssh目录权限必须是700,authorized_keys文件权限必须是600。否则SSH会拒绝使用这些密钥。
重启SSH服务:
每次修改sshd_config后,都必须重启SSH服务才能生效。
sudo systemctl restart sshd # 或者 service sshd restart
重启前,我习惯开一个备用SSH会话,以防配置出错导致当前会话断开后无法重新连接。
在我看来,多用户SSH登录的安全性,远不止于配置本身,它更像是一个持续的、多层面的防护体系。
首先,密钥认证是基石。我几乎从不让服务器对外开放纯密码登录,除非是内网环境,且有严格的IP限制。密码认证的脆弱性在于其可猜测性,而密钥对的数学特性决定了其难以被暴力破解。为每个用户生成独立的密钥对,并要求他们为私钥设置强密码(passphrase),这是我反复强调的。
其次,限制登录用户和来源IP。sshd_config里的AllowUsers和AllowGroups能精确控制谁可以登录。在此之上,我还会考虑服务器防火墙(如firewalld或ufw)的配置,只允许特定IP地址或IP段访问SSH端口(默认为22)。例如,只允许公司办公室的固定IP访问,这能大幅减少来自未知来源的攻击面。
再者,禁用不必要的SSH功能。SSH不仅仅是远程Shell,它还支持端口转发(AllowTcpForwarding)、X11转发(X11Forwarding)、隧道(PermitTunnel)等。如果用户不需要这些功能,我会在sshd_config中明确设置为no。少一个开放的功能,就少一个潜在的攻击向量。比如,如果只是想让用户上传下载文件,可以考虑配置SFTP-only的SSH,禁用Shell访问。
最后,保持系统和SSH服务更新。任何软件都可能存在漏洞,SSH守护进程也不例外。定期更新操作系统和SSH服务,是修补已知安全漏洞、避免被利用的有效手段。同时,部署像Fail2Ban这样的工具,可以自动检测并封禁短时间内多次尝试登录失败的IP地址,有效对抗暴力破解攻击。
在多用户环境中,并非所有用户都需要完全的SSH Shell访问权限,或者他们可能只需要执行特定的命令。限制特定用户的SSH访问权限和功能,是我在安全管理中经常遇到的需求,尤其是在给外部合作方提供有限访问时。
一种常见且有效的方法是使用sshd_config中的Match块。这个块允许你为特定的用户、组、主机或地址设置不同的SSH配置。例如,我经常用它来为只进行文件传输的用户提供SFTP访问,而禁止Shell登录:
Match User sftpuser
ForceCommand internal-sftp
ChrootDirectory /home/sftpuser
PermitTunnel no
AllowTcpForwarding no
X11Forwarding no
PermitRootLogin no # 即使在全局开启,这里也可以单独禁用
PasswordAuthentication yes # 如果这个用户只用密码认证
PubkeyAuthentication no # 如果这个用户只用密码认证这里,ForceCommand internal-sftp强制用户登录后只能使用内置的SFTP服务,无法获得Shell。ChrootDirectory /home/sftpuser则会将该用户的根目录限制在/home/sftpuser,确保他们无法访问系统其他部分。需要注意的是,ChrootDirectory要求该目录及其上层目录都不能被其他用户写入,权限设置要非常严格。
另一种方法是修改用户的默认Shell。如果一个用户只需要通过SSH执行特定脚本或根本不需要交互式Shell,你可以将其默认Shell设置为/sbin/nologin或/bin/false:
sudo usermod -s /sbin/nologin limiteduser
这样,当limiteduser尝试通过SSH登录时,他们将立即被断开连接,因为没有可用的Shell。这对于那些仅用于后台服务或通过其他方式(如FTP、WebDAV)访问的用户来说非常有用。
对于更精细的命令限制,可以结合authorized_keys文件中的command=选项。在用户的~/.ssh/authorized_keys文件中,在公钥前面加上command="your_script.sh",可以强制该用户在登录时只执行指定的脚本,而忽略用户自己输入的命令。
command="/path/to/your_script.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa AAAAB3NzaC... user@host
这里的no-port-forwarding等选项也是为了进一步限制功能。这种方式非常强大,但管理起来相对复杂,尤其是在用户多、命令复杂的情况下。
SSH密钥管理,在我看来,是SSH安全中最容易被忽视,却也最关键的一环。密钥用得好,安全事半功倍;用不好,就成了最大的安全漏洞。
首先,生成强密钥。我总是推荐使用ed25519算法(如果SSH客户端和服务器都支持)或至少是RSA 4096位。较老的RSA 2048位虽然仍被广泛使用,但从长远看,强度稍显不足。生成密钥时,务必为私钥设置一个强密码(passphrase)。这个密码保护着你的私钥,即使私钥文件泄露,没有密码也无法使用。我个人倾向于使用一个复杂但能记住的短语作为密码。
其次,私钥的妥善保管。私钥是你的数字身份,绝不能泄露。它应该只存在于你的本地机器上,并且权限必须严格设置为只有所有者可读写(chmod 600 ~/.ssh/id_rsa或id_ed25519)。永远不要将私钥上传到服务器或任何不信任的云存储服务。如果你的工作环境需要多台机器访问,可以考虑使用SSH Agent转发,而不是在每台机器上都存放私钥。
再者,公钥的正确分发。将公钥添加到服务器的~/.ssh/authorized_keys文件时,我通常会使用ssh-copy-id工具,它不仅复制公钥,还会自动设置正确的文件和目录权限。如果手动复制,务必确保~/.ssh目录权限是700,authorized_keys文件权限是600,且所有者正确。权限不对,SSH守护进程会直接忽略这些密钥。
我还会建议定期轮换密钥,尤其是在有人员离职或怀疑密钥可能泄露的情况下。虽然这听起来有点麻烦,但它能有效降低长期密钥被破解或滥用的风险。当一个密钥不再需要时,立即从所有服务器的authorized_keys文件中移除它。
最后,利用SSH Agent。对于日常使用,SSH Agent可以让你在解锁私钥一次后,在当前会话中无需重复输入密码即可使用私钥。这既方便又安全,因为它避免了私钥密码的频繁输入,也防止了私钥在内存中的长时间暴露。
以上就是Linux如何配置多用户SSH登录?_Linux安全策略与限制方法的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
234
收藏
