完全锁定服务器上的用户帐户，包括 ssh

文档man usermod为您提供了推荐的解决方案：

-L,--lock锁定用户密码。!这会在加密密码前面放置一个，从而有效地禁用密码。您不能将此选项与-p或一起使用-U。

注意：如果您想锁定帐户（不仅仅是使用密码访问），您还应该EXPIRE_DATE将1.

接着

-e,--expiredate EXPIRE_DATE用户帐户将被禁用的日期。日期以格式指定YYYY-MM-DD。

空EXPIRE_DATE参数将禁用帐户到期。

所以，把它变成一个真实的例子

usermod -L -e 1 someuser     # Lock
usermod -L -e '' someuser    # Unlock

如果您可能在其中设置了默认到期日期，/etc/default/useradd则可以将其值（如果有）作为解锁过程的一部分包括在内：

usermod -U -e "$( . /etc/default/useradd; echo "$EXPIRE")" someuser

对于帐户过期的用户，计划通过cron的作业也会被禁用，但不仅仅是锁定帐户。journalctl -u cron来自显示过期用户帐户名的错误消息（在本例中test2）：

Apr 30 11:47:01 pi CRON[26872]: pam_unix(cron:account): account test2 has expired (account expired)
Apr 30 11:47:01 pi cron[472]: Authentication failure
Apr 30 11:47:01 pi CRON[26872]: Authentication failure

计划的作业at仍未尝试。（我不清楚他们是否会在超过到期日后运行；从经验上看似乎不是。）

已在锁定和过期帐户下运行的其他进程不受影响并继续运行。

发出“usermod -L user”后，您可以通过将此行添加到/etc/ssh/sshd_config文件的末尾来拒绝 ssh 访问：

DenyUsers user

或者您可以为此目的创建一个组，以便您可以通过将用户添加到该组来拒绝 ssh 登录：

groupadd deny-ssh
usermod -a -G deny-ssh user

并将组添加到/etc/ssh/sshd_config文件的末尾：

DenyGroups deny-ssh

每次更改/etc/ssh/sshd_config文件后，请确保重新加载 sshd 守护程序以应用更改：

systemctl reload sshd

reload 命令将加载新设置并保持所有现有的 ssh 会话打开。

或者，您可以更改用户外壳，因此即使他登录，他也不会获得外壳：

usermod --shell /usr/sbin/nologin user

我可以建议创建一个简单的 bash 脚本，只需一个命令即可完成上述所有操作。

拒绝登录.sh：

#!/bin/bash

#Lock user account
usermod -L $1

#Deny SSH connections
usermod -a -G deny-ssh $1

#Remove user Shell
usermod --shell /usr/sbin/nologin $1

#Reload sshd
systemctl reload sshd

现在你只需要像这样执行脚本：

./deny-logon.sh user

它会自动为“用户”进行上述所有更改。

编辑：@roaima 解决方案是最正确的解决方案，使帐户过期会禁用对它的所有访问权限，如果您想阻止用户登录，应该这样做。

您应该能够通过在其中添加用户名或组来禁用用户的 ssh 登录

/etc/ssh/sshd_config

在设置DenyUsers和/或下DenyGroup。

见man 5 sshd_config。

不要忘记HUPsshd。

要正确阻止用户访问 SSH 服务器，正确的解决方案是修改 SSHD 配置，以便使用DenyUsers和/或DenyGroups设置明确拒绝他们访问。我通常会建议DenyGroups为此目的使用和创建一个专用组，您可以添加不应该具有 SSH 访问权限的任何人。

要完全锁定帐户，您还需要锁定他们的密码，将其设置为过期（两者都使用usermod），并将其登录 shell 更改为，/sbin/nologin以便其他登录机制不会让他们进入。在某些情况下，您可能需要做的甚至更多情况也是如此（例如，如果服务器运行 Samba 并且用户可以通过 SMB 访问文件共享，您可能还需要使用 锁定他们的 Samba 帐户smbpasswd）。

为什么只是锁定帐户usermod还不够？

这归结为这样一个事实，即帐户在传统 UNIX 意义上被“锁定”，即无论用户尝试使用什么密码，它都永远不会与密码数据库中的密码匹配。这意味着，更重要的是，锁定帐户usermod 仅影响那些针对系统密码数据库进行身份验证的服务（在现代 Linux 系统上，这意味着那些配置为使用pam_unixPAM 模块进行身份验证的服务）。

但是，SSHD 仅在使用密码或质询-响应身份验证机制时才实际对系统密码数据库进行身份验证。公钥身份验证以及任何其他身份验证机制（例如 GSSAPI 或 s/key）仅涉及系统密码数据库来检查帐户是否存在，因此它们通常可以在锁定帐户时正常工作。

为什么将登录 shell 设置为/sbin/nologin不够？

这与以下事实有关：有多种方法可以作为特定用户帐户访问系统，而这些方法与登录 shell 无关。

这里最相关的是带有明确指定命令的 SFTP、SCP 和 SSH 根本不调用登录 shell。这意味着即使将登录 shell 设置为/sbin/nologin，您通常也可以通过运行以用户身份在系统上获得一个工作 shell ssh -t user@host /bin/sh（显式请求伪终端分配是必需的，而这又是获取某些东西所必需的，-t例如从生成的 shell 中正常工作），您几乎总是可以使用 SFTP 和 SCP 来移动文件。sudovim

另一个例子是使用sudo -u user /bin/sh从系统上的现有会话中作为给定用户获取工作 shell 作为不同的用户。即使目标用户的登录 shell 设置为 ，这也将起作用/sbin/nologin，但如果帐户也被锁定，usermod您将必须以 root 用户身份运行它（至少，在任何标准sudo配置中）。

锁定帐户是正确的方法。您可能还想删除 authorised_keys 文件以击败 SSH。

请记住，除了 SSH 之外，还有其他登录方式。

用“*rc”例程做任何事情都是笨拙的，但如果它是一个公用事业帐户敌人 sftp 或 SCP 的话，通常用于“sftp only”帐户。

但是 !password 比在需要恢复时更改密码更好。

与往常一样，安全地保存备份。

如果您不想依赖关于不同软件将如何处理文件中的锁定或过期状态的假设，那么shadow作为用户帐户完全锁定的一个大锤子是从passwd文件中删除其行（在其他地方保留备份）。通过此更改，不再存在从用户名到 uid 或主目录的任何映射，因此没有任何东西（sshd 或其他）可以查找用户名、找到主目录和authorized_keys文件（或类似文件）并对其进行操作。