命令方式
 
要修改一个已经存在的用户，执行这个命令：
 usermod -s /sbin/nologin 
 对新用户，可以使用这个命令：
 useradd -s /sbin/nologin 
 
/bin/false是最严格的禁止login选项，一切服务都不能用。而/sbin/nologin只是不允许login系统，但可以使用其他ftp等服务。
 
直接修改/etc/passwd
 
把/bin/bash修改为/sbin/nologin
 上面命令作用也是修改这个文件

 
1. 通过passwd禁用用户登录
 
passwd
    Syntax：
        passwd [<options>][username]

    参数详解：
        -S:列出口令的状态信息
        -l：锁定用户账户， 和usermod -L效果相同
        -u：解锁已锁账户， 类似usermod -U
        -d：删除口令
        -k：保持口令不变，直到口令失效后才能更改
        --stdin：从标准输入读取口令
    
        //PS.
            passwd -[lu]与usermod -[LU]可想相互操作

------------------------------------
比如禁用用户A：
		passwd -l A
	解锁：
		passwd -u A
 
通过usermod禁用用户登录
 
   (2)usermod
    Syntax:
        usermod [-LU][-c <备注>][-d <登入目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-l <帐号名称>][-s <shell>][-u <uid>][用户帐号]
        参数说明：
            -c<备注> 　修改用户帐号的备注文字。
            -d登入目录> 　修改用户登入时的目录。
            -e<有效期限> 　修改帐号的有效期限。
            -f<缓冲天数> 　修改在密码过期后多少天即关闭该帐号。
            -g<群组> 　修改用户所属的群组。
            -G<群组> 　修改用户所属的附加群组。
            -l<帐号名称> 　修改用户帐号名称。
            -L 　锁定用户密码，使密码无效。
            -s<shell> 　修改用户登入后所使用的shell。
            -u<uid> 　修改用户ID。
            -U 　解除密码锁定。
------------------------------------------------

比如要禁止A用户登录：
	usermod -L A
	解锁：
		usermod -U A
 
通过修改用户shell来禁止登录
 
直接将用户的shell改变为 /sbin/nologin
usermod -s /sbin/nologin
 
通过配置ssh禁止用户登录
 
1.只允许指定用户进行登录（白名单）：

在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers 选项，（配置完成需要重启 SSHD 服务）格式如下：

AllowUsers    aliyun test@192.168.1.1            
# 允许 aliyun 和从 192.168.1.1 登录的 test 帐户通过 SSH 登录系统。
2.只拒绝指定用户进行登录（黑名单）：

在/etc/ssh/sshd_config配置文件中设置DenyUsers选项，（配置完成需要重启SSHD服务）格式如下：   

DenyUsers    zhangsan aliyun    #Linux系统账户        
# 拒绝 zhangsan、aliyun 帐户通过 SSH 登录系统
 
除了可以禁止某个用户登录，我们还可以针对固定的IP进行禁止登录，linux 服务器通过设置 /etc/hosts.allow 和 /etc/hosts.deny 这个两个文件，

hosts.allow许可大于hosts.deny可以限制或者允许某个或者某段IP地址远程 SSH 登录服务器.方法比较简单，具体如下：

1. vim /etc/hosts.allow， 添加

sshd:192.168.0.1:allow  #允许 192.168.0.1 这个 IP 地址 ssh 登录
sshd:192.168.0.1/24:allow #允许 192.168.0.1/24 这段 IP 地址的用户登录

2.vim /etc/hosts.allow，添加

sshd:ALL # 允许全部的 ssh 登录 


      hosts.allow 和hosts.deny 两个文件同时设置规则的时候，hosts.allow 文件中的规则优先级高，按照此方法设置后服务器只允许 192.168.0.1 这个 IP 地址的 ssh 登录，其它的 IP 都会拒绝。
 
 除了可以禁止某个用户登录，我们还可以针对固定的IP进行禁止登录，linux 服务器通过设置 /etc/hosts.allow 和 /etc/hosts.deny 这个两个文件，


hosts.allow许可大于hosts.deny可以限制或者允许某个或者某段IP地址远程 SSH 登录服务器.方法比较简单，具体如下：

1. vim /etc/hosts.allow， 添加

sshd:192.168.0.1:allow  #允许 192.168.0.1 这个 IP 地址 ssh 登录
sshd:192.168.0.1/24:allow #允许 192.168.0.1/24 这段 IP 地址的用户登录

2.vim /etc/hosts.allow，添加

sshd:ALL # 允许全部的 ssh 登录 


      hosts.allow 和hosts.deny 两个文件同时设置规则的时候，hosts.allow 文件中的规则优先级高，按照此方法设置后服务器只允许 192.168.0.1 这个 IP 地址的 ssh 登录，其它的 IP 都会拒绝。

 
 
touch /etc/nologin
 
touch /etc/nologin
这样将禁止除root外的所有用户登录
禁止用户登录时，/etc/nologin 文件中的内容将会显示给用户，会一闪而过。
例如，按如下方式创建 nologin 文件：
disable login by admin temperarily!
当用户试图登陆时，将会给用户显示"disable login by admin temperarily!"，当系统维护结束以后，再删除/etc/nologin文件，其他用户就又可以恢复登陆了，这只是限于能登陆shell的用户来说的，对于那些登陆shell为/sbin/nologin的用户来说没有影响，因为他们本身就无法登陆shell。
 
引用：https://www.cnblogs.com/xiaochina/p/5920057.html

Linux禁止或允许普通用户利用su切换至root
 
linux系统为了限制权限，有时候需要禁止普通用户su到root用户, 首先先说明一下：
 
su     #只是切换到root用户， 不改变当前目录；
su -   #切换到root和改变目录到/root
 
wheel组的介绍
 
在Linux中wheel组就类似于一个管理员的组。通常在LUNIX下，即使我们有系统管理员root的权限，也不推荐用root用户登录。一般情况下用普通用户登录就可以了，在需要root权限执行一些操作时，再su登录成为root用户。但是，任何人只要知道了root的密码，就都可以通过su命令来登录为root用户--这无疑为系统带来了安全隐患。
 
所以，将普通用户加入到wheel组，被加入的这个普通用户就成了管理员组内的用户，但如果不对一些相关的配置文件进行配置，这个管理员组内的用户与普通用户也没什么区别--就像警察下班后，没有带枪、穿这便衣和普通人（用户）一样，虽然他的的确确是警察。
 
根据应用的实例不同应用wheel组的方法也不同。这里对于服务器来说，我们希望的是剥夺被加入到wheel组用户以外的普通用户通过su命令来登录为root的机会（只有属于wheel组的用户才可以用su登录为root）。这样就进一步增强了系统的安全性。具体步骤如下:
 
修改 /etc/pam.d/su 文件，找到“#auth required /lib/security/$ISA/pam_wheel.so use_uid ”这一行，将行首的“#”去掉。
修改 /etc/login.defs 文件，在最后一行增加“SU_WHEEL_ONLY yes”语句。
然后，用“usermod -G wheel 用户名”将一个用户添加到wheel组中。
 
usermod -G wheel 用户名
 
用刚刚被添加到wheel组的用户登录，并执行su命令登录为root用户。这时输入了正确的root密码可以正常的登录为root用户。但是，如果换成一个不属于wheel组的用户时，执行了su命令后，即使输入了正确的root密码，也无法登录为root用户。普通用户登录为root用户的权限被完全剥夺了。（会收到“密码错误”的提示）。这样无疑提高了系统的安全性。
 
以上步骤基于CentOS，并适用于Fedora Core和RHEL。接下来我们来操作验证一下，具体的操作步骤如下：
 
一、实验环境
 
[root@t2 pam.d]# cat /etc/redhat-release 
CentOS Linux release 7.2.1511 (Core) 
[root@t2 pam.d]# uname -a
Linux t2 3.10.0-514.el7.x86_64 #1 SMP Tue Nov 22 16:42:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
 
其他的环境自行测试
 
二、详细配置
 
(1)去除/etc/pam.d/su文件中如下行的注释：
 
vi /etc/pam.d/su
 
 
 
 
(2)在/etc/login.defs文件中加入如下配置项：
 
vim /etc/login.defs

添加：
SU_WHEEL_ONLY yes
 
 
经过上述配置后，普通用户将被禁止su至root，如果希望指定普通用户su至root，可以执行如下命令将该用户添加至wheel组中：
 
usermod -G wheel username
或者
gpasswd -a username wheel
 
三、示例
 
[root@t1 ~]# id a1
uid=1001(a1) gid=1001(a1) groups=1001(a1),10(wheel)
[root@t1 ~]# id a2
uid=1002(a2) gid=1002(a2) groups=1002(a2)
 
验证
 
[a1@t1 ~]$ su - root
Password: 
Last login: Fri Apr 19 16:40:23 CST 2019 from 10.0.0.1 on pts/2
[root@t1 ~]# 

[a2@t1 ~]$ 
[a2@t1 ~]$ su - root
Password: 
su: Permission denied
 
方法二：
 
修改  /etc/pam.d/su文件中如下行：
 
vim /etc/pam.d/su

#auth　　　　required　　　　pam_wheel.so use_uid
auth　　　　required　　　　/lib64/security/pam_wheel.so use_uid group=wheel
#路径不加也是可以的，因为我的环境是x86架构的
auth　　　　required　　　　pam_wheel.so use_uid group=wheel
 
 

LINUX管理用户登录权限，禁止用户登录
 
 
 
1、禁止个别用户登录。比如禁止 user 用户登录。
 
passwd  -l  user
 
这就话的意思是锁定user用户，这样该用户就不能登录了。
 
passwd  -u  user
 
对锁定的用户user进行解锁，用户可登录了。
 
2、通过修改 /etc/passwd 文件中用户登录的shell
 
vim /etc/passwd
 
找到user这个用户（或者是你选定的用户）
 
user:500:500::/home/lynn:/bin/bash
 
更改为：
 
lynn:x:500:500::/home/lynn:/sbin/nologin
 
/bin/false是最严格的禁止login选项，一切服务都不能用。
/sbin/nologin只是不允许login系统，但可以使用其他ftp等服务。
3、禁止所有用户登录。
 
touch /etc/nologin
 
除root以外的用户不能登录了。