Linux多用户SSH登录设置教程

想要提升Linux服务器的安全性？本文为你详细解读Linux多用户SSH登录配置方法，助你打造坚固的数字防线。文章将重点介绍如何通过创建独立用户账户、配置sshd_config限制权限、使用密钥认证并限制登录来源，实现安全的多用户远程访问。从用户创建、密码设置，到禁用root登录、启用密钥认证，再到配置用户SSH密钥和重启SSH服务，每个步骤都至关重要。同时，结合防火墙设置，进一步限制访问来源IP，确保服务器安全无虞。通过本文，你将学会如何为你的Linux系统设置多重安全防护，让合法用户畅行无阻，有效抵御潜在威胁。

创建独立用户账户、配置sshd_config限制权限、使用密钥认证并限制登录来源。首先，通过useradd创建用户并设置密码与sudo权限；其次，编辑/etc/ssh/sshd_config禁用root登录、启用密钥认证并限制允许登录的用户或组；然后配置用户SSH密钥并严格设置.ssh目录和authorized_keys文件权限；最后重启SSH服务并结合防火墙进一步限制访问来源IP，确保安全性。

Linux系统上配置多用户SSH登录，本质上就是创建和管理系统账户，并利用SSH服务自身的灵活配置能力，来控制这些账户的远程访问权限。这不仅涉及到账户的建立，更深层次地，是如何在开放远程访问的同时，筑牢安全防线，避免不必要的风险暴露。在我看来，这更像是在给你的数字领地划分不同的入口和权限，既要方便合法访客，又要严防不速之客。

解决方案

要让多个用户能通过SSH登录你的Linux服务器，核心步骤包括用户创建、SSH服务配置以及权限管理。我通常会这么操作：

1. 创建系统用户： 这是基础中的基础。每个需要SSH登录的人都应该有自己的独立系统账户。

   

   sudo useradd -m -s /bin/bash newuser # -m 创建家目录，-s 指定默认shell
   sudo passwd newuser # 设置用户密码，密码一定要复杂！

   如果需要这个用户有sudo权限，可以将其加入sudo组（在Debian/Ubuntu是sudo组，CentOS/RHEL是wheel组）：

   sudo usermod -aG sudo newuser # 或者 usermod -aG wheel newuser

2. 配置SSH守护进程 (sshd_config)： 这是控制SSH行为的关键文件，通常位于/etc/ssh/sshd_config。编辑这个文件时，我总是小心翼翼，毕竟改错了可能就登不进去了。

   

   • 禁止Root用户直接登录： 这是我个人觉得最重要的一条。Root权限太高，直接登录风险极大。

     PermitRootLogin no

     这样，即使要用root权限，也得先用普通用户登录，再su -或sudo -i切换。

   • 选择认证方式： 我强烈推荐使用密钥认证（PubkeyAuthentication yes），然后关闭密码认证（PasswordAuthentication no）。密码认证虽然方便，但容易被暴力破解，而密钥对的安全性高出不止一个量级。

     PubkeyAuthentication yes
     PasswordAuthentication no # 强烈推荐，但如果你必须用密码登录，就保持 yes

     如果选择密钥认证，记得确保AuthorizedKeysFile指向正确的位置，默认是%h/.ssh/authorized_keys，通常不用改。

   • 限制可登录用户或组： 如果你只想让特定用户或特定组的用户登录，可以使用AllowUsers或AllowGroups。我经常用这个来收紧权限，比如只允许开发组的人SSH登录。

     AllowUsers user1 user2 # 只允许user1和user2登录
     # 或者
     AllowGroups developers # 只允许developers组的用户登录

     注意，AllowUsers和AllowGroups是互斥的，通常只用其中一个。如果两者都配置了，只有同时满足的用户才能登录。

3. 配置用户SSH密钥（如果使用密钥认证）： 让用户在本地生成SSH密钥对（ssh-keygen），然后将公钥内容添加到服务器上对应用户的~/.ssh/authorized_keys文件中。

   # 在用户自己的电脑上生成密钥
   ssh-keygen -t ed25519 -C "your_email@example.com"
   # 将公钥复制到服务器
   ssh-copy-id newuser@your_server_ip
   # 或者手动复制：
   # scp ~/.ssh/id_ed25519.pub newuser@your_server_ip:/tmp/
   # 然后在服务器上：
   # mkdir -p /home/newuser/.ssh
   # cat /tmp/id_ed25519.pub >> /home/newuser/.ssh/authorized_keys
   # chmod 700 /home/newuser/.ssh
   # chmod 600 /home/newuser/.ssh/authorized_keys
   # chown -R newuser:newuser /home/newuser/.ssh

   权限设置非常关键，~/.ssh目录权限必须是700，authorized_keys文件权限必须是600。否则SSH会拒绝使用这些密钥。

4. 重启SSH服务： 每次修改sshd_config后，都必须重启SSH服务才能生效。

   sudo systemctl restart sshd # 或者 service sshd restart

   重启前，我习惯开一个备用SSH会话，以防配置出错导致当前会话断开后无法重新连接。

如何确保多用户SSH登录的安全性？

在我看来，多用户SSH登录的安全性，远不止于配置本身，它更像是一个持续的、多层面的防护体系。

首先，密钥认证是基石。我几乎从不让服务器对外开放纯密码登录，除非是内网环境，且有严格的IP限制。密码认证的脆弱性在于其可猜测性，而密钥对的数学特性决定了其难以被暴力破解。为每个用户生成独立的密钥对，并要求他们为私钥设置强密码（passphrase），这是我反复强调的。

其次，限制登录用户和来源IP。sshd_config里的AllowUsers和AllowGroups能精确控制谁可以登录。在此之上，我还会考虑服务器防火墙（如firewalld或ufw）的配置，只允许特定IP地址或IP段访问SSH端口（默认为22）。例如，只允许公司办公室的固定IP访问，这能大幅减少来自未知来源的攻击面。

再者，禁用不必要的SSH功能。SSH不仅仅是远程Shell，它还支持端口转发（AllowTcpForwarding）、X11转发（X11Forwarding）、隧道（PermitTunnel）等。如果用户不需要这些功能，我会在sshd_config中明确设置为no。少一个开放的功能，就少一个潜在的攻击向量。比如，如果只是想让用户上传下载文件，可以考虑配置SFTP-only的SSH，禁用Shell访问。

最后，保持系统和SSH服务更新。任何软件都可能存在漏洞，SSH守护进程也不例外。定期更新操作系统和SSH服务，是修补已知安全漏洞、避免被利用的有效手段。同时，部署像Fail2Ban这样的工具，可以自动检测并封禁短时间内多次尝试登录失败的IP地址，有效对抗暴力破解攻击。

如何限制特定用户的SSH访问权限或功能？

在多用户环境中，并非所有用户都需要完全的SSH Shell访问权限，或者他们可能只需要执行特定的命令。限制特定用户的SSH访问权限和功能，是我在安全管理中经常遇到的需求，尤其是在给外部合作方提供有限访问时。

一种常见且有效的方法是使用sshd_config中的Match块。这个块允许你为特定的用户、组、主机或地址设置不同的SSH配置。例如，我经常用它来为只进行文件传输的用户提供SFTP访问，而禁止Shell登录：

Match User sftpuser
    ForceCommand internal-sftp
    ChrootDirectory /home/sftpuser
    PermitTunnel no
    AllowTcpForwarding no
    X11Forwarding no
    PermitRootLogin no # 即使在全局开启，这里也可以单独禁用
    PasswordAuthentication yes # 如果这个用户只用密码认证
    PubkeyAuthentication no # 如果这个用户只用密码认证

这里，ForceCommand internal-sftp强制用户登录后只能使用内置的SFTP服务，无法获得Shell。ChrootDirectory /home/sftpuser则会将该用户的根目录限制在/home/sftpuser，确保他们无法访问系统其他部分。需要注意的是，ChrootDirectory要求该目录及其上层目录都不能被其他用户写入，权限设置要非常严格。

另一种方法是修改用户的默认Shell。如果一个用户只需要通过SSH执行特定脚本或根本不需要交互式Shell，你可以将其默认Shell设置为/sbin/nologin或/bin/false：

sudo usermod -s /sbin/nologin limiteduser

这样，当limiteduser尝试通过SSH登录时，他们将立即被断开连接，因为没有可用的Shell。这对于那些仅用于后台服务或通过其他方式（如FTP、WebDAV）访问的用户来说非常有用。

对于更精细的命令限制，可以结合authorized_keys文件中的command=选项。在用户的~/.ssh/authorized_keys文件中，在公钥前面加上command="your_script.sh"，可以强制该用户在登录时只执行指定的脚本，而忽略用户自己输入的命令。

command="/path/to/your_script.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa AAAAB3NzaC... user@host

这里的no-port-forwarding等选项也是为了进一步限制功能。这种方式非常强大，但管理起来相对复杂，尤其是在用户多、命令复杂的情况下。

SSH密钥管理有哪些最佳实践？

SSH密钥管理，在我看来，是SSH安全中最容易被忽视，却也最关键的一环。密钥用得好，安全事半功倍；用不好，就成了最大的安全漏洞。

首先，生成强密钥。我总是推荐使用ed25519算法（如果SSH客户端和服务器都支持）或至少是RSA 4096位。较老的RSA 2048位虽然仍被广泛使用，但从长远看，强度稍显不足。生成密钥时，务必为私钥设置一个强密码（passphrase）。这个密码保护着你的私钥，即使私钥文件泄露，没有密码也无法使用。我个人倾向于使用一个复杂但能记住的短语作为密码。

其次，私钥的妥善保管。私钥是你的数字身份，绝不能泄露。它应该只存在于你的本地机器上，并且权限必须严格设置为只有所有者可读写（chmod 600 ~/.ssh/id_rsa或id_ed25519）。永远不要将私钥上传到服务器或任何不信任的云存储服务。如果你的工作环境需要多台机器访问，可以考虑使用SSH Agent转发，而不是在每台机器上都存放私钥。

再者，公钥的正确分发。将公钥添加到服务器的~/.ssh/authorized_keys文件时，我通常会使用ssh-copy-id工具，它不仅复制公钥，还会自动设置正确的文件和目录权限。如果手动复制，务必确保~/.ssh目录权限是700，authorized_keys文件权限是600，且所有者正确。权限不对，SSH守护进程会直接忽略这些密钥。

我还会建议定期轮换密钥，尤其是在有人员离职或怀疑密钥可能泄露的情况下。虽然这听起来有点麻烦，但它能有效降低长期密钥被破解或滥用的风险。当一个密钥不再需要时，立即从所有服务器的authorized_keys文件中移除它。

最后，利用SSH Agent。对于日常使用，SSH Agent可以让你在解锁私钥一次后，在当前会话中无需重复输入密码即可使用私钥。这既方便又安全，因为它避免了私钥密码的频繁输入，也防止了私钥在内存中的长时间暴露。

好了，本文到此结束，带大家了解了《Linux多用户SSH登录设置教程》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！