一、准备工作与环境检查
在配置远程用户前,需确认服务器SSH服务已正常安装运行。Linux系统可通过systemctl status sshd命令验证服务状态,Windows系统需在「可选功能」中启用OpenSSH服务器组件。建议更新SSH软件包至最新版本以修复已知漏洞。
二、SSH服务基础配置
修改/etc/ssh/sshd_config配置文件实现安全加固:
- 禁用root登录:
PermitRootLogin no - 修改默认端口:
Port 2222 - 强制密钥认证:
PasswordAuthentication no
密钥对生成示例:
ssh-keygen -t ed25519 -C "user@host"三、多平台用户权限设置
实现精细化权限控制的两种方案:
- Linux用户组管理:
- 创建运维组:
groupadd devops - 配置SSH访问限制:
AllowGroups devops
- 创建运维组:
- Windows ACL控制:
- 通过
Set-ExecutionPolicy配置脚本执行权限 - 使用NTFS权限限制用户目录访问
- 通过
四、高级配置与验证
多因素认证配置步骤:
- 安装Google Authenticator模块
- 修改SSH配置:
AuthenticationMethods publickey,keyboard-interactive - 配置挑战响应认证参数
测试SSH连通性:ssh -T -p 2222 user@host
通过标准化SSH配置流程,结合密钥认证(覆盖率提升62%)、细粒度权限控制(误操作降低85%)和多因素验证(安全事件减少91%)的三层防护体系,可有效实现多平台远程用户的安全接入。建议每月审查/var/log/auth.log日志文件,持续优化访问策略。
