我看到sshd_config文件里有这样一段：

Disable access for operator users

Match Group operator
GSSAPIAuthentication no
HostbasedAuthentication no
KerberosAuthentication no
PasswordAuthentication yes
PubkeyAuthentication yes
RhostsRSAAuthentication no
RSAAuthentication yes
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no

按道理operator用户是不能登录ssh的，这里注释也是正确的”Disable access“
可是配置项却是：
PasswordAuthentication yes
PubkeyAuthentication yes
RSAAuthentication yes

界面上建出来的operator级别用户只能登web，它配置的shell是 /usr/sbin/nologin 无法登陆，sshd里的这些设置其实也没啥意义

对，确实没意义。不晓得这里的sshd配置文件里，故意加上operator组的额外权限有什么用

只是模板 /opt/vyatta/etc/ssh/sshd_config 里这么写的，配置里又没相关的配置，所以就不变了吧…

在一个庞大的系统里，要想每个地方都很干净，并不容易，特别在人力不足的时候…有时候只要没有什么功能影响，又不影响安全，就没人会碰了。