服务器安全双账户配置实战指南
在服务器管理中,创建多个用户账户是实现权限分离和安全运维的关键一步,以下是创建两个用户(user1作为普通用户,adminuser作为管理用户)的专业流程:
一、核心操作步骤
1、登录服务器
ssh root@your_server_ip2、创建普通用户user1
adduser user1 # 设置高强度密码,包含大小写字母、数字、特殊符号3、创建管理用户adminuser
adduser adminuser
usermod -aG sudo adminuser # 关键步骤:赋予sudo权限4、配置SSH密钥登录(增强安全)
su - adminuser
mkdir ~/.ssh && chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys # 粘贴公钥
chmod 600 ~/.ssh/authorized_keys5、禁用root直接登录(安全加固)
sudo nano /etc/ssh/sshd_config
# 修改参数:
PermitRootLogin no
PasswordAuthentication no # 强制使用密钥登录
sudo systemctl restart sshd二、权限管理与安全实践
最小权限原则
user1仅拥有基础目录权限,使用chown和chmod精确控制
sudo chown -R user1:user1 /var/www/user1_site
sudo chmod 750 /var/www/user1_sitesudo精细化控制
* 编辑/etc/sudoers限制adminuser权限
sudo visudo
# 添加规则:
adminuser ALL=(ALL:ALL) /usr/bin/apt, /usr/bin/systemctl # 仅允许特定命令审计与监控
sudo grep 'adminuser' /var/log/auth.log # 查看sudo使用记录
sudo apt install auditd # 安装高级审计工具三、企业级安全增强方案
1、双因素认证 (2FA):
sudo apt install libpam-google-authenticator
sudo nano /etc/pam.d/sshd # 添加 auth required pam_google_authenticator.so2、会话超时锁定:
sudo nano /etc/profile
# 添加:TMOUT=300 # 5分钟无操作自动注销3、Fail2ban防护:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo systemctl enable fail2ban四、运维最佳实践
定期用户审计
sudo awk -F: '($3 >= 1000) {print $1}' /etc/passwd # 查看所有普通用户
sudo lastlog # 检查最后登录时间密钥轮换策略
ssh-keygen -t ed25519 -f ~/.ssh/new_admin_key # 每90天生成新密钥特权访问管理
* 使用jump server跳板机集中管控运维入口
* 部署Teleport或Bastion实现操作录像与审批
>服务器权限隔离不是可选项,而是运维安全的生命线。 通过严格区分普通用户与特权账户、强制密钥认证、精细化sudo控制及持续审计,可抵御80%的暴力破解与越权攻击,真正的安全源于对每个权限节点的敬畏之心,而非依赖单一防护手段。
基于Ubuntu 22.04 LTS验证,操作前请务必在测试环境演练,关键配置修改建议备份原文件(如sudo cp /etc/ssh/sshd_config{,.bak})。
文章摘自:https://idc.huochengrm.cn/fwq/10566.html
评论