大家好，我是你们的服务器“老司机”兼“踩坑专业户”小明。今天咱们来聊点硬核但又不失趣味的话题——怎么在VPS上限制一个用户。别误会，这可不是搞“职场霸凌”，而是为了服务器安全和资源公平分配！（比如防止某个用户狂挖矿，把CPU跑成“烧烤架”……）

一、为什么要限制用户？先讲个血泪故事

去年我有个粉丝的VPS突然卡成PPT，一查发现某个用户偷偷跑了十几个Python脚本挖矿，内存直接爆满。他哭着问我：“小明，这咋整？”——所以啊，限制用户不是“小心眼”，而是防患于未然！

常见场景：

- 资源黑洞：某个用户占满CPU/内存，其他人连`ls`命令都卡。

- 安全风险：用户权限过高，随手一个`rm -rf /`就能送你服务器上天。

- 多租户管理：比如你是云服务商，得保证用户A不能偷看用户B的数据。

二、实操指南：4种姿势“拿捏”用户

1. 基础操作：用`ulimit`给用户戴“紧箍咒”

想限制用户的资源？Linux自带法宝`ulimit`！比如限制最大进程数、文件打开数等。

```bash

查看当前限制

ulimit -a

临时限制某用户的进程数（比如最多50个）

ulimit -u 50

永久生效？改/etc/security/limits.conf！

vim /etc/security/limits.conf

加入这两行（用户叫bob）

bob hard nproc 50

最多50进程

bob hard nofile 1000

最多打开1000文件

```

效果：用户bob如果敢开第51个进程，系统会温柔地提示：“醒醒，你被限制了！”

2. 高级玩法：`cgroups`把用户关进“资源监狱”

如果`ulimit`是手铐，那`cgroups`就是监狱！它能精确控制CPU、内存、磁盘IO。

安装cgroups工具（Ubuntu为例）

apt install cgroup-tools

创建一个叫“limit_bob”的控制组

cgcreate -g cpu,memory:/limit_bob

限制CPU使用为单核的50%

cgset -r cpu.cfs_quota_us=50000 limit_bob

限制内存为1GB

cgset -r memory.limit_in_bytes=1G limit_bob

把用户bob的进程丢进去

cgexec -g cpu,memory:limit_bob su - bob

比喻：这就像给bob分配了一个专属小隔间，吃喝拉撒全在里面，别想越狱！

3. 权限管控：用`sudoers`让用户“寸步难行”

有些用户总想`sudo su`变root？修改`/etc/sudoers`，让他只能跑特定命令！

visudo

一定要用这个命令编辑！

允许bob仅重启nginx

bob ALL=(root) /usr/sbin/service nginx restart

现在bob想删库？系统会冷笑：“您配吗？”

4. 终极封印：直接禁止登录（社恐必备）

如果某个用户彻底“黑化”，直接封号！

方法1：禁用密码登录（仅允许密钥）

passwd -l bob

方法2：删号跑路（谨慎！）

userdel -r bob

方法3：SSH黑名单（/etc/hosts.deny）

echo "sshd: bob" >> /etc/hosts.deny

友情提示：删号前记得备份数据，否则可能会收到用户的“亲切问候”。

三、防翻车指南：限制用户的注意事项

1. 提前告知：如果是团队服务器，记得通知用户规则，避免半夜被电话轰炸。

2. 留后路：给自己留个root权限的备用账户，别把自己锁外面（别问我怎么知道的）。

3. 监控报警：用`top`、`htop`或Prometheus盯着资源，谁超标立马查水表！

四、一下知识点

| 方法 | 适用场景 | 杀伤力 |

|-|||

| `ulimit` | 限制进程、文件数 | ⭐⭐ |

| `cgroups` | CPU/内存/磁盘IO精准控制 | ⭐⭐⭐⭐ |

| `sudoers` | 限制命令执行权限 | ⭐⭐⭐ |

| 删号/禁登录 | “核武器”，慎用！ | 💥💥💥💥 |

最后送大家一句服务器管理箴言：“爱TA就限制TA，不管TA是人是程序。” （手动狗头）

如果有其他骚操作或翻车经历，欢迎在评论区分享！我是小明，我们下期再见～ 🐧

TAG:怎么限制vps一个用户,怎么限制外网,如何设置vps,vps限速,如何限制其他用户的网速