Linux下如何让长时间不活动的用户自动登出

# Linux下如何让长时间不活动的用户自动登出

## 引言

在Linux服务器管理或共享计算机环境中，用户登录后长时间不操作可能导致安全隐患和资源浪费。本文将详细介绍如何通过系统配置实现用户会话超时自动注销功能，涵盖Bash终端、SSH会话、GUI桌面环境等多种场景的解决方案。

---

## 一、终端会话超时设置（TTY/Console）

### 1. 使用TMOUT环境变量
`TMOUT`是Bash内置的环境变量，可设置shell空闲超时时间（秒）：

```bash
# 临时生效（当前会话）
export TMOUT=300  # 5分钟无操作后自动退出

# 永久生效（对所有用户）
sudo tee -a /etc/profile <<<'export TMOUT=300'
sudo tee -a /etc/bashrc <<<'export TMOUT=300'

# 仅对特定用户生效
echo 'export TMOUT=300' >> ~/.bash_profile

注意：需重新登录或执行source /etc/profile生效。

2. 通过/etc/profile.d/配置

更规范的配置方式：

sudo tee /etc/profile.d/autologout.sh <<'EOF'
#!/bin/sh
TMOUT=900  # 15分钟
readonly TMOUT
export TMOUT
EOF

sudo chmod +x /etc/profile.d/autologout.sh

二、SSH会话超时控制

1. 服务端全局配置（sshd_config）

编辑/etc/ssh/sshd_config：

ClientAliveInterval 300     # 5分钟检测一次活动
ClientAliveCountMax 0      # 无响应立即断开

重启SSH服务：

sudo systemctl restart sshd

2. 客户端超时设置

在客户端~/.ssh/config中添加：

Host *
    ServerAliveInterval 60
    ServerAliveCountMax 3

三、桌面环境自动注销

1. GNOME桌面配置

通过gsettings设置：

# 设置15分钟无操作锁定
gsettings set org.gnome.desktop.session idle-delay 900

# 锁定后立即注销（需安装dconf-editor）
gsettings set org.gnome.desktop.lockdown disable-lock-screen 'true'

2. KDE Plasma配置

修改~/.config/kscreenlockerrc：

[Daemon]
Autolock=false
LockOnResume=false

[Greeter]
Timeout=10

四、PAM模块实现系统级控制

通过pam_exec或pam_time模块实现：

1. 编辑/etc/pam.d/sshd或/etc/pam.d/login：

session    required     pam_exec.so /usr/local/bin/check_inactivity.sh

1. 创建检测脚本：

#!/bin/bash
# /usr/local/bin/check_inactivity.sh
IDLE_TIME=$(w -hs | awk '{print $5}' | grep -o '[0-9]*')
MAX_IDLE=1800  # 30分钟

if [ "$IDLE_TIME" -gt "$MAX_IDLE" ]; then
    pkill -KILL -u $PAM_USER
fi

五、systemd-logind配置

对于使用systemd的系统：

sudo tee /etc/systemd/logind.conf.d/timeout.conf <<'EOF'
[Login]
KillUserProcesses=yes
KillExcludeUsers=root
IdleAction=lock
IdleActionSec=15min
EOF

systemctl restart systemd-logind

六、注意事项与排错

常见问题处理

1. TMOUT不生效：

   • 检查是否被~/.bashrc覆盖
   • 确认shell类型（zsh需配置TMOUT）

2. SSH保持连接：

   # 临时保持连接（每60秒发送心跳）
   ssh -o ServerAliveInterval=60 user@host
   

3. 特殊用户排除：

   # 在/etc/profile.d/脚本中添加判断
   if [ "$USER" != "keepalive" ]; then
      export TMOUT=600
   fi
   

七、安全建议

1. 分级设置超时：

   • 普通用户：15-30分钟
   • 管理员账户：5-10分钟
   • 服务账户：不设置超时

2. 日志记录：

   # 记录注销事件
   echo "$(date '+%Y-%m-%d %H:%M:%S') - User $USER logged out by timeout" >> /var/log/timeout.log
   

3. 结合其他安全措施：

   # 失败登录尝试后缩短超时时间
   sudo tee -a /etc/pam.d/sshd <<'EOF'
   auth required pam_faildelay.so delay=3000000  # 3秒延迟
   EOF
   

结语

通过合理配置超时自动注销机制，可显著提升Linux系统的安全性。建议根据实际环境测试不同方案的兼容性，生产环境中应先进行灰度测试。对于关键服务器，建议配合监控系统实现异常登录告警功能。

扩展阅读：
- Linux PAM官方文档
- systemd.logind配置手册 “`

该文档包含代码块、分级标题和结构化内容，总字数约1500字，可直接保存为.md文件使用。需要调整细节时可修改超时时间值或补充特定桌面环境的配置说明。