Linux SSH 仅允许密钥登录怎么做:账户白名单、配置检查和可回退发布
给服务器关掉 SSH 密码登录,本意是减少撞库和弱口令风险,最常见的事故却是管理员刚保存配置,就发现自己的密钥没被加载,只能跑到机房操作或者靠云控制台的救援模式救急。真正稳妥的做法不是一次性改完所有开关,而是先确认现有密钥通路正常,再收紧可登录的账户范围,最后留一条仍然在线的老会话做回退兜底。
先验证至少一个普通运维账号能用密钥稳定登录,再关闭密码入口;配置落盘后必须先跑 sshd -t 做语法校验,并且在旧会话不退出的前提下新开一次连接测试。新连接验证成功,才允许重载 SSH 服务。
- 不要用 root 作为日常远程入口,优先准备可 sudo 的普通运维账号。
- PasswordAuthentication no 前先确认公钥位置、权限和实际登录用户名。
- AllowUsers 只列明确需要登录的账号;主机来源限制需要先在测试机核对匹配规则。
- 旧会话保持在线,语法检查和新连接都通过后再重载配置。
先确认哪些账号和密钥属于受保护资产
SSH 加固保护的不只是 22 端口本身,还包括运维账号、公钥、跳板机来源和预留的救援入口。生产机至少应明确一个日常运维账号,例如 deploy;它的私钥由谁保管、对应公钥写在哪个位置、是否已经具备可用的 sudo 权限,都要先核对清楚。
这里别急着网上随便复制配置片段。先开另一个终端窗口用目标账号登录一次,并确认 ~/.ssh/authorized_keys 的属主和权限正确。如果当前还依赖密码登录,先补全密钥通道并做一次新会话验证,再进入关闭密码登录的阶段。
| 资产或入口 | 常见风险 | 收紧动作 |
|---|---|---|
| root 远程入口 | 高权限账号被直接暴力猜测 | PermitRootLogin no |
| 密码认证 | 撞库、弱口令和泄露密码复用 | PasswordAuthentication no |
| 运维账号范围 | 无关系统账号也能尝试发起登录 | AllowUsers 明确列出白名单 |
| 密钥文件 | 公钥未加载或权限不符合 SSH 要求 | 先用新会话完成功能验证 |
把加固规则放进独立配置片段
很多主流发行版会自动加载 /etc/ssh/sshd_config.d/ 下的自定义配置片段。新规则单独存放,日后排查问题和回滚撤销都更清晰;如果当前环境没有这个自动加载的机制,就在主配置的对应位置添加配置,同时提前备份好原文件。不同版本的 SSH 支持的配置项略有差异,部署前可以用本机的 man 手册和语法检查命令确认。
# /etc/ssh/sshd_config.d/60-access.conf PermitRootLogin no PasswordAuthentication no KbdInteractiveAuthentication no PubkeyAuthentication yes AllowUsers deploy ops MaxAuthTries 3
AllowUsers 是生效的访问白名单,不是注释文本。启用后不在列表里的所有账号都会被直接拒绝,因此自动化发布账号、跳板机专用账号也要提前梳理清楚加到列表里。如果要加来源地址范围限制,先只在隔离测试环境试匹配规则,避免网络地址写错导致所有正常登录都被挡住。

先做语法检查,再查看实际生效项
保存文件后第一步不要直接重载服务,先让 SSH 守护进程预读取配置。sshd -t 能提前发现明显的语法错误;sshd -T 适合直接查看配置生效后的关键参数。这两个命令执行通过,只说明配置本身格式合法,不代表你的密钥一定能正常登录,所以后面仍要新开真实会话做验证。
sudo sshd -t sudo sshd -T | grep -E 'passwordauthentication|permitrootlogin|pubkeyauthentication|maxauthtries' # 保持当前会话不退出,另开终端验证 ssh deploy@server.example
新会话发起后应该直接进入密钥认证流程,不再弹出密码输入提示。如果没走密钥认证流程,先回到仍在线的旧会话检查用户名、公钥文件权限、配置片段加载顺序和服务日志,不要为了临时连上就把密码认证重新开放给所有账号。
用双会话把回退路径留在手里
最安全的配置发布方式,是旧会话和新会话同时在线:旧会话负责兜底回退,新会话负责验证刚落地的新规则。新会话能正常运行 sudo、读取目标存储路径并再次发起登录后,再用对应发行版的 SSH 重载命令让新配置接管后续所有新连接。
- 会话 A 保持在线,全程不关闭这个连接的认证状态。
- 在会话 A 写入新配置片段并运行 sshd -t 做校验。
- 在会话 B 用白名单里的账号新建密钥登录,确认没有弹出密码提示。
- 重载 SSH 服务后再次建立会话 C 确认可用;整个流程任意一步失败,都在会话 A 移除新配置片段并重载服务快速恢复。
系统日志也要纳入日常检查范围:连续登录失败的账号、来源地址和认证方式能帮助判断是外部扫描流量还是内部配置遗漏。不要把密钥明文内容写进日志或工单,只记录账号、时间和失败原因就足够后续复盘。

相关问题
关闭密码登录后还能用云控制台救援吗?
通常云控制台提供的是带外管理入口,但具体实现方式由平台决定。不要把它当作唯一的回退方案;发布新配置前仍应保持现有 SSH 会话在线,并提前确认普通运维账号的密钥通路正常可用。
AllowUsers 和 AllowGroups 选哪个?
账号很少且人员变动不频繁时,AllowUsers 更直观好维护。团队账号由统一用户组管理时,可以考虑 AllowGroups,但必须把组成员变更也纳入正规权限流程。
为什么 sshd -t 通过后仍可能登录失败?
语法检查只证明配置本身能被正常解析。公钥没有放到对应账号的目录下、家目录权限不符合 SSH 要求、白名单账号遗漏和多个配置片段加载顺序冲突,都会让实际认证失败。
密钥登录是否意味着不需要再看认证日志?
不是。密钥减少了密码猜测的攻击面,但失效密钥、异常来源和白名单遗漏这类问题仍需要通过日志发现。把失败请求趋势和异常账号纳入日常检查更可靠。
收尾:远程入口要先能验证,再谈关闭
SSH 加固最重要的不是记住几行配置参数,而是让每条访问路径都可解释、可验证、可撤销。先准备好普通账号和可用密钥,后收紧密码和 root 远程入口权限;先开新会话验证,后重载服务。这个执行顺序守住了,安全性和可维护性才能一起提高。
AI 提示词版本怎么灰度回滚:样本对照、输出门禁和请求标识
- 上一篇
- AI 提示词版本怎么灰度回滚:样本对照、输出门禁和请求标识
- 下一篇
- Go strings.Builder 为什么不能复制:传值参数、append 和 panic 的边界
-
- 文章 · linux | 1天前 | Linux · 安全 · 运维 · 服务加固 · Linux服务单元 PrivateTmp NoNewPrivileges ReadWritePaths 服务加固
- Linux 服务单元怎么加固:只读根、私有临时与可写路径白名单
- 259浏览 收藏
-
- 文章 · linux | 6天前 | Linux · nginx · HTTP响应头 · 浏览器安全 · SharedArrayBuffer · 跨源隔离 · Linux Nginx SharedArrayBuffer COOP COEP 跨源隔离
- Linux Nginx 配置 COOP 和 COEP:让 SharedArrayBuffer 可用前先做这 4 项检查
- 111浏览 收藏
-
- 文章 · linux | 6天前 | 容器 · 内存 · Linux · 运维 · Linux journalctl 内存排查 cgroup OOM Killed
- Linux 服务器进程被 OOM Killed 怎么排查:从内核日志到 cgroup 内存上限的完整流程
- 316浏览 收藏
-
- 文章 · linux | 1星期前 | Linux · Path · sudo · 运维排查 · 权限配置 · Linux sudo path 绝对路径 command not found secure_path visudo
- Linux sudo 提示 command not found 怎么办:从 secure_path 到绝对路径排查
- 440浏览 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 4576次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 4226次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 4185次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 4404次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 4366次使用
-
- 详解golang执行Linuxshell命令完整场景下的使用方法
- 2023-01-07 426浏览
-
- go程序部署到linux上运行的实现方法
- 2023-01-02 387浏览
-
- Linux系统下Go语言开发环境搭建
- 2023-01-07 242浏览
-
- Go语言利用ssh连接服务器的方法步骤
- 2022-12-31 307浏览
-
- golang 通过ssh代理连接mysql的操作
- 2022-12-23 206浏览

