当VPS遇上“熊孩子”用户

想象一下：你花重金租了一台高性能VPS，结果某个用户偷偷跑了个挖矿脚本，CPU直接飙到100%——这感觉就像买了辆跑车，结果被朋友借去当拖拉机用！别慌，今天就用“外科手术式”操作教你如何限制VPS用户权限，让每个用户乖乖待在“自己的房间”里。

一、为什么需要限制用户？真实案例血泪史

1. 案例1：CPU被“薅秃”

某博主（不是我！）的VPS突然卡成PPT，一查发现某用户跑了`stress --cpu 8`测试脚本忘关了…

*👉 ：不给CPU限制=让用户拿打火机烤服务器。*

2. 案例2：磁盘变“黑洞”

用户A疯狂下载电影，瞬间塞满500GB硬盘，导致数据库崩溃。

*👉 ：不限制磁盘=允许用户在机房堆满外卖盒。*

二、Linux权限管理三大神器（附实操）

神器1：`ulimit`——给用户戴上“紧箍咒”

- 作用：限制CPU、内存、进程数等硬指标。

- 骚操作示例：

```bash

限制用户test最大进程数为20，内存500MB

echo "test hard nproc 20" >> /etc/security/limits.conf

echo "test hard as 500000" >> /etc/security/limits.conf

```

*效果*：用户若敢开第21个进程，系统会冷漠拒绝：“您的额度已用完，请充值智商。”

神器2：`chroot`——把用户关进“小牢房”

- 原理：让用户的根目录变成子目录，看不到系统其他文件。

- 实战命令：

创建监狱目录并复制基础命令

mkdir /home/jail

chroot /home/jail /bin/bash

*比喻*：就像只给用户一个装了玩具铲子的沙滩，想挖穿地球？不存在的。

神器3：`cgroups`——精准分配资源（高级玩法）

- 场景：需要动态限制CPU/内存时（比如防止MySQL吃光资源）。

- 代码示例：

创建名为web_team的cgroup组，限制CPU使用30%

cgcreate -g cpu:/web_team

cgset -r cpu.cfs_quota_us=30000 web_team

*效果*：用户的进程像被装了调速器，飙车？最多骑自行车！

三、Windows VPS的特殊姿势

如果你用Windows Server，也别慌：

1. 通过“本地组策略”限制

`gpedit.msc` → “计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”，一键禁止关机/安装软件等权限。

2. 磁盘配额控制

右键磁盘→属性→配额→启用配额管理，设定用户只能使用50GB空间。

*后果*：用户存满后会收到堪比“银行卡余额不足”的绝望提示。

四、防翻车指南（必看！）

1. 白名单比黑名单靠谱

- ❌错误做法：禁止所有命令除了`ls`。

- ✅正确做法：用`sudoers`文件精细控制（示例）：

```bash

允许用户backup仅运行tar命令

backup ALL=(ALL) /bin/tar

```

2. 定期审计日志

命令推荐：`lastlog`（查登录记录）、`lsof -u username`（查用户打开的文件）。

3. 终极奥义——删库跑路防御术

```bash

禁止使用rm -rf（替换为safe-rm）

alias rm='echo "想删库？先提交工单！"'

```

五、表格：不同场景下的限制方案

| 作死行为 | 工具 | 效果 |

|--||--|

| CPU超载 | `cgroups` | CPU限速到指定百分比 |

| 内存泄漏 | `ulimit -v` | 进程内存超过即崩溃 |

| sudo滥用 | `/etc/sudoers`| 只允许特定命令 |

| SSH乱搞 | `Fail2Ban` | IP拉黑警告 |

****

限制VPS用户不是“防贼”，而是让每个人合理使用资源。毕竟——你的VPS不是公共厕所，不能让人随便嚯嚯！按照本文操作后，就算遇到“熊孩子”用户，也能淡定喝茶：“小样儿，早给你画好圈了。”

（友情提示：操作前备份数据，否则翻车了别怪我没提醒～）

TAG:怎么限制vps一个用户,如何设置vps,如何限制服务器外网地址访问,怎么限制vps一个用户访问