时下 SSH 销售很火爆,专营 SSH 的服务商犹如雨后春笋般出现,原因是门槛低。基本上只要有一台 VPS ,就可以创建 SSH 账号,但安全问题却很重要。在生产环境中,一个不作限制的 SSH 账号,将允许你登陆到服务器,并且进行许许多多的操作。因此无论是销售,还是给朋友创建 SSH 账号,将其权限最小化,是必须的。
似乎在圈内已有一些比较完善的 SSH 配置以及销售系统,估计已经有相关的一些防范措施。因此本教程是针对个人用户的:当你购买了一个 VPS ,希望创建一些 SSH 账号送给朋友或者会员,又不希望他们能登陆到 VPS 上的话,就需要用到本文所提及的这个方法。
至于为什么不希望他们通过 SSH 登陆,一是因为能够登陆的账号可能会造成安全隐患,二是因为现在大多用来作 TCP 转发,因而只用于 TCP 转发的根本没有登陆的必要。
创建只能作 TCP 转发的 SSH 账号
通过下面这个命令,就可以创建一个只允许 TCP 转发而不允许登陆(交互)的 SSH 账号。
-
useradd -s /bin/false username
useradd -s /bin/false username
*通过下面命令来给 username 这个账号设置密码
-
passwd username
passwd username
创建允许更改密码以及 TCP 转发但不能登陆的 SSH 账号
更人性化一些,你可能需要允许你的朋友们自己去更改一个便于他们自己记忆的密码。这个时候我们可以让 /usr/bin/passwd 作为他们的 Shell ,这样他们就可以自己修改密码了。
1.编辑/etc/shells,并加入:
-
/usr/bin/passwd
/usr/bin/passwd
2.通过以下命令创建 SSH 账号:
-
useradd -s /usr/bin/passwd username