当前位置:首页 > 文章列表 > 文章 > linux > Linux SSH 仅允许密钥登录怎么做:账户白名单、配置检查和可回退发布

Linux SSH 仅允许密钥登录怎么做:账户白名单、配置检查和可回退发布

来源:17golang原创 2026-07-18 19:44:00 0浏览 收藏

给服务器关掉 SSH 密码登录,本意是减少撞库和弱口令风险,最常见的事故却是管理员刚保存配置,就发现自己的密钥没被加载,只能跑到机房操作或者靠云控制台的救援模式救急。真正稳妥的做法不是一次性改完所有开关,而是先确认现有密钥通路正常,再收紧可登录的账户范围,最后留一条仍然在线的老会话做回退兜底。

先验证至少一个普通运维账号能用密钥稳定登录,再关闭密码入口;配置落盘后必须先跑 sshd -t 做语法校验,并且在旧会话不退出的前提下新开一次连接测试。新连接验证成功,才允许重载 SSH 服务。
要点速览
  • 不要用 root 作为日常远程入口,优先准备可 sudo 的普通运维账号。
  • PasswordAuthentication no 前先确认公钥位置、权限和实际登录用户名。
  • AllowUsers 只列明确需要登录的账号;主机来源限制需要先在测试机核对匹配规则。
  • 旧会话保持在线,语法检查和新连接都通过后再重载配置。

先确认哪些账号和密钥属于受保护资产

SSH 加固保护的不只是 22 端口本身,还包括运维账号、公钥、跳板机来源和预留的救援入口。生产机至少应明确一个日常运维账号,例如 deploy;它的私钥由谁保管、对应公钥写在哪个位置、是否已经具备可用的 sudo 权限,都要先核对清楚。

这里别急着网上随便复制配置片段。先开另一个终端窗口用目标账号登录一次,并确认 ~/.ssh/authorized_keys 的属主和权限正确。如果当前还依赖密码登录,先补全密钥通道并做一次新会话验证,再进入关闭密码登录的阶段。

资产或入口常见风险收紧动作
root 远程入口高权限账号被直接暴力猜测PermitRootLogin no
密码认证撞库、弱口令和泄露密码复用PasswordAuthentication no
运维账号范围无关系统账号也能尝试发起登录AllowUsers 明确列出白名单
密钥文件公钥未加载或权限不符合 SSH 要求先用新会话完成功能验证

把加固规则放进独立配置片段

很多主流发行版会自动加载 /etc/ssh/sshd_config.d/ 下的自定义配置片段。新规则单独存放,日后排查问题和回滚撤销都更清晰;如果当前环境没有这个自动加载的机制,就在主配置的对应位置添加配置,同时提前备份好原文件。不同版本的 SSH 支持的配置项略有差异,部署前可以用本机的 man 手册和语法检查命令确认。

# /etc/ssh/sshd_config.d/60-access.conf
PermitRootLogin no
PasswordAuthentication no
KbdInteractiveAuthentication no
PubkeyAuthentication yes
AllowUsers deploy ops
MaxAuthTries 3

AllowUsers 是生效的访问白名单,不是注释文本。启用后不在列表里的所有账号都会被直接拒绝,因此自动化发布账号、跳板机专用账号也要提前梳理清楚加到列表里。如果要加来源地址范围限制,先只在隔离测试环境试匹配规则,避免网络地址写错导致所有正常登录都被挡住。

Linux SSH 密钥登录加固的访问边界:root 与密码入口被关闭,deploy 和 ops 白名单账号通过公钥进入服务器

先做语法检查,再查看实际生效项

保存文件后第一步不要直接重载服务,先让 SSH 守护进程预读取配置。sshd -t 能提前发现明显的语法错误;sshd -T 适合直接查看配置生效后的关键参数。这两个命令执行通过,只说明配置本身格式合法,不代表你的密钥一定能正常登录,所以后面仍要新开真实会话做验证。

sudo sshd -t
sudo sshd -T | grep -E 'passwordauthentication|permitrootlogin|pubkeyauthentication|maxauthtries'

# 保持当前会话不退出,另开终端验证
ssh deploy@server.example

新会话发起后应该直接进入密钥认证流程,不再弹出密码输入提示。如果没走密钥认证流程,先回到仍在线的旧会话检查用户名、公钥文件权限、配置片段加载顺序和服务日志,不要为了临时连上就把密码认证重新开放给所有账号。

用双会话把回退路径留在手里

最安全的配置发布方式,是旧会话和新会话同时在线:旧会话负责兜底回退,新会话负责验证刚落地的新规则。新会话能正常运行 sudo、读取目标存储路径并再次发起登录后,再用对应发行版的 SSH 重载命令让新配置接管后续所有新连接。

  1. 会话 A 保持在线,全程不关闭这个连接的认证状态。
  2. 在会话 A 写入新配置片段并运行 sshd -t 做校验。
  3. 在会话 B 用白名单里的账号新建密钥登录,确认没有弹出密码提示。
  4. 重载 SSH 服务后再次建立会话 C 确认可用;整个流程任意一步失败,都在会话 A 移除新配置片段并重载服务快速恢复。

系统日志也要纳入日常检查范围:连续登录失败的账号、来源地址和认证方式能帮助判断是外部扫描流量还是内部配置遗漏。不要把密钥明文内容写进日志或工单,只记录账号、时间和失败原因就足够后续复盘。

Linux SSH 加固双会话验证流程:会话 A 保留回退权限,会话 B 新建密钥登录,通过后重载,失败则从会话 A 恢复配置

相关问题

关闭密码登录后还能用云控制台救援吗?

通常云控制台提供的是带外管理入口,但具体实现方式由平台决定。不要把它当作唯一的回退方案;发布新配置前仍应保持现有 SSH 会话在线,并提前确认普通运维账号的密钥通路正常可用。

AllowUsers 和 AllowGroups 选哪个?

账号很少且人员变动不频繁时,AllowUsers 更直观好维护。团队账号由统一用户组管理时,可以考虑 AllowGroups,但必须把组成员变更也纳入正规权限流程。

为什么 sshd -t 通过后仍可能登录失败?

语法检查只证明配置本身能被正常解析。公钥没有放到对应账号的目录下、家目录权限不符合 SSH 要求、白名单账号遗漏和多个配置片段加载顺序冲突,都会让实际认证失败。

密钥登录是否意味着不需要再看认证日志?

不是。密钥减少了密码猜测的攻击面,但失效密钥、异常来源和白名单遗漏这类问题仍需要通过日志发现。把失败请求趋势和异常账号纳入日常检查更可靠。

收尾:远程入口要先能验证,再谈关闭

SSH 加固最重要的不是记住几行配置参数,而是让每条访问路径都可解释、可验证、可撤销。先准备好普通账号和可用密钥,后收紧密码和 root 远程入口权限;先开新会话验证,后重载服务。这个执行顺序守住了,安全性和可维护性才能一起提高。

版本声明
本文转载于:17golang原创 如有侵犯,请联系study_golang@163.com删除
AI 提示词版本怎么灰度回滚:样本对照、输出门禁和请求标识AI 提示词版本怎么灰度回滚:样本对照、输出门禁和请求标识
上一篇
AI 提示词版本怎么灰度回滚:样本对照、输出门禁和请求标识
Go strings.Builder 为什么不能复制:传值参数、append 和 panic 的边界
下一篇
Go strings.Builder 为什么不能复制:传值参数、append 和 panic 的边界
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    543次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    516次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    500次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    485次学习
查看更多
AI推荐
  • ljg-skills -
    ljg-skills
    ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
    4576次使用
  • MELO音乐 - AI 音乐生成平台,支持多模态创作能力
    MELO音乐
    MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
    4226次使用
  • UniScribe - AI 免费在线音视频转文字平台
    UniScribe
    UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
    4185次使用
  • 剧云 - 免费 AI 智能中文剧本创作平台
    剧云
    剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
    4404次使用
  • 万象有声 - AI 一站式有声内容创作平台
    万象有声
    万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
    4366次使用
微信登录更方便
  • 密码登录
  • 注册账号
登录即同意 用户协议隐私政策
返回登录
  • 重置密码