现在想实现的功能是，通过ssh反向隧道登录用户的机器。
首先用户会向我们服务器发起一个请求，我们服务器会生成一对公钥/私钥，把私钥交给用户。
用户在10分钟之内可以通过这个私钥ssh登录进我们的服务器，把用户的端口映射到我们服务器，10分钟过后禁止登录。

现在比较关心的是安全问题。
多用户。
服务器端口希望动态分配，端口号可以连同私钥一起交给用户。
用户登录进我的服务器不能乱搞，给最小权限。

给用户建一个很小权限的账号，设置账号的过期时间就行了。

我就是问你怎么设过期

简单办法是保存每个帐号的过期时间（可以用数据库，但简单地用文件保存也可以），然后每分钟cron job 检查过期用户删掉
你利用自带的帐户管理用户的话，过期的用户会一直留在passwd里，时间长了会悲剧的
另外也可以chroot跑dropbear，好处是不怕弄乱passwd

RTFM
passwd
-i, --inactive=DAYS number of days after password expiration when an account becomes disabled (root only)


打算用at把公钥删了，这方法可行不？

似乎没什么大问题