Linux如何限制用户登录权限

限制Linux用户登录权限需配置SSH、PAM及账户状态。首先通过/etc/ssh/sshd_config的AllowUsers/AllowGroups实现远程登录白名单，重启sshd生效；其次利用/etc/security/access.conf配合pam_access.so模块控制本地与远程访问，需确保PAM配置文件加载该模块；最后通过passwd -l或usermod -L锁定账户，usermod -s /sbin/nologin禁用账户，userdel -r删除账户，结合使用可有效防止未授权访问，提升系统安全性。

在Linux系统中，限制用户登录权限是系统安全和资源管理的核心环节，它主要通过配置SSH服务、调整PAM（Pluggable Authentication Modules）模块以及直接管理用户账户状态等多种方式实现，确保只有授权用户才能访问系统资源，这对于维护系统的稳定性和抵御潜在威胁至关重要。

限制Linux用户登录权限的解决方案通常围绕几个关键点展开：首先是SSH服务的配置，因为这是远程访问最常用的途径；其次是PAM模块，它提供了灵活的认证和授权机制；再者是用户账户本身的属性管理，如禁用或锁定。在我看来，最直接且广泛应用的策略是调整SSH配置文件来控制远程登录，并结合PAM的

access.conf

/etc/ssh/sshd_config

usermod -L

passwd -l

通过SSH配置文件精确控制用户远程登录的策略与实践

SSH是Linux系统远程管理的核心，因此，控制SSH登录权限是限制用户访问的第一道防线。在我日常工作中，配置

/etc/ssh/sshd_config

具体来说，你可以使用

AllowUsers

DenyUsers

AllowGroups

DenyGroups

admin_user

dev_team

# /etc/ssh/sshd_config
# 允许特定用户登录
AllowUsers admin_user another_admin
# 允许特定组的成员登录
AllowGroups dev_team
# 如果设置了AllowUsers或AllowGroups，那么默认是拒绝其他所有用户的。
# 如果你想明确拒绝某些用户，可以在AllowUsers/AllowGroups之前使用DenyUsers/DenyGroups
DenyUsers guest_user

需要注意的是，这些指令是按照顺序处理的。

AllowUsers

AllowGroups

DenyUsers

DenyGroups

sshd_config

sudo systemctl restart sshd

sudo service sshd restart

利用PAM模块与系统文件实现本地登录权限的精细化管理

除了SSH，本地登录以及其他服务（如FTP、SU）的权限控制同样重要。PAM（Pluggable Authentication Modules）是一个强大的框架，它允许系统管理员根据服务类型和用户需求，灵活地配置认证策略。其中，

/etc/security/access.conf

pam_access.so

这个文件的语法相对直观：每行代表一条规则，格式通常是

+|-:users:origins

+

-

users

@

origins

tty1

例如，我可能希望只允许

root

tty1

tty6

tty

# /etc/security/access.conf
# 允许root用户从所有来源登录
+:root:ALL
# 允许dev_team组的用户从192.168.1.0/24网段登录
+: @dev_team : 192.168.1.
# 拒绝所有其他用户从任何地方登录
-:ALL:ALL

要让

access.conf

/etc/pam.d/login

/etc/pam.d/sshd

pam_access.so

account required pam_access.so

/etc/nologin

root

nologin

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

27

查看详情

用户账户生命周期管理：禁用、锁定与删除的安全性考量

除了网络和PAM层面的限制，直接管理用户账户的状态是更底层的控制方式。这包括临时锁定账户、永久禁用账户，甚至彻底删除账户。这些操作直接影响用户是否能通过任何方式登录系统。

锁定账户： 当你怀疑某个账户被入侵，或者需要临时阻止用户登录时，锁定账户是最快捷的方式。可以使用

passwd -l <username>

usermod -L <username>

/etc/shadow

sudo passwd -l user_to_lock
# 或者
sudo usermod -L user_to_lock

解锁账户则使用

passwd -u <username>

usermod -U <username>

passwd -l

禁用账户： 如果你需要让一个账户在一段时间内无法使用，但又不想删除其数据，可以禁用账户。最常见的做法是将其Shell改为一个不存在的程序，例如

/sbin/nologin

/bin/false

sudo usermod -s /sbin/nologin user_to_disable

这样，当用户尝试登录时，系统会尝试执行

/sbin/nologin

删除账户： 当一个用户彻底离开团队或不再需要访问系统时，删除账户是最彻底的清理方式。使用

userdel

-r

sudo userdel -r user_to_delete

在执行删除操作时，我总会三思。删除用户账户是不可逆的，务必确认该用户的所有数据和权限都已经妥善处理，避免误删重要数据或留下权限漏洞。有时，我宁愿先禁用账户一段时间，确认无误后再进行删除，这是一种更稳妥的做法。这些账户管理策略的恰当运用，是确保系统安全，避免未授权访问的关键环节。

以上就是Linux如何限制用户登录权限的详细内容，更多请关注php中文网其它相关文章！