目的：记录一套可随时启用的防护与收编方案，防止用户绕过 OOD/Slurm 直接在计算节点上执行任务。

当前状态：仅备案，不实施。当出现“偷跑（直接 SSH 进计算节点并运行任务）”时，按本文步骤启用。

一、策略总览（结论）

• 统一入口：交互计算全部经 OOD IApp（srun --pty / 在作业中启 ttyd）。不提供/不鼓励“裸 SSH Shell”。
• PAM + Slurm 收编：在计算节点启用 pam_slurm_adopt（或 pam_slurm），无作业不得入内；若已分配作业，则将 SSH 会话自动收编至该作业的 cgroup。
• 网络与 SSH 围栏：计算节点 SSH 对外收紧（仅来自登录节点的来源；或直接停 sshd）。禁用端口转发/X11 等旁路能力。
• 最小可回滚：所有改动均有回滚点；出问题可一条命令恢复。

二、触发条件（何时启用）

• 监控/日志显示：计算节点上存在未关联 Slurm 作业的用户进程（如 sacct 无关联、cgroup 非作业路径）。
• 员工/同学反馈“直接 SSH 到计算节点调试”或被发现端口转发占用 GPU/CPU。
• 资源占用异常、调度公平性下降且定位为直连行为。

三、实施步骤（分阶段推出）

阶段 0：公告与过渡

• 发布通知：将逐步启用“有作业才能登录计算节点”的策略；交互使用 OOD 的交互式应用（IApp）。
• 提供替代：srun --pty bash -l、IApp 的 Shell/Jupyter/Code-Server。

阶段 1：SSH 服务最小收紧（可选先行）

目标：即使不启用 PAM，也先减少旁路能力。

修改 计算节点 /etc/ssh/sshd_config 关键项：