Linux终端自动登出：TMOUT环境变量配置详解与常见陷阱

在Linux服务器安全管理中，配置终端空闲超时自动断开是基础但关键的一环。然而，很多管理员在设置TMOUT环境变量后，会发现它并未如期生效。问题出在哪里？其实，TMOUT并非一个“设了就管用”的普通变量，它的生效必须满足三个硬性条件：值必须为整数、必须通过export声明为全局变量，并且必须在Shell启动时就已存在。下面就来逐一拆解这些条件背后的原理和实操细节。

TMOUT 必须用 export 声明，且只能是整数

最常见的错误是直接赋值而不导出。只写TMOUT=600，Bash只会将其视为当前Shell的普通局部变量，子进程和后续的交互逻辑都无法识别。正确的写法必须是export TMOUT=600。此外，赋值必须是一个纯整数，任何小数或带单位的形式（例如TMOUT=10m或TMOUT=600.0）都会导致Shell直接忽略该变量，此时执行echo $TMOUT只会得到空值。

• 生效检查：登录后立即执行echo $TMOUT，如果返回的是数字（如600），说明配置已加载；如果为空，则意味着变量未生效或被覆盖。
• 只读加固（可选）：通过export TMOUT=600; readonly TMOUT的组合命令，可以防止用户后续执行unset TMOUT或TMOUT=0来解除限制。
• 注意拼写：变量名是严格区分大小写的TMOUT，常见的拼写错误如TIMEOUT、tmout或TMOU都会导致配置无效。

/etc/profile 和 ~/.bashrc 的加载顺序决定谁赢

配置写在哪里，直接决定了它的作用范围和优先级。系统级配置通常放在/etc/profile，而用户级配置则在~/.bashrc。但问题在于，后加载的文件会覆盖先加载的变量。如果用户的~/.bashrc文件中包含了unset TMOUT或TMOUT=0这样的语句，那么之前在系统文件里做的所有设置都将前功尽弃。

• 推荐做法：为了统一管控，建议在/etc/profile中设置export TMOUT=600，并在末尾追加readonly TMOUT，这样可以有效防止被用户本地的配置文件覆盖。
• 用户级定制：如果确实需要按用户配置，务必检查其~/.bashrc是否通过source /etc/profile显式继承了系统配置。如果没有，系统设置将不会被加载。
• 图形终端场景：像GNOME Terminal或Konsole这类图形终端，默认启动的是非登录Shell，不会读取/etc/profile。针对这种情况，要么将配置写入/etc/bash.bashrc（适用于Debian/Ubuntu），要么在终端模拟器的设置中勾选“运行命令作为登录shell”。

SSH 连接不退出？不是 TMOUT 失效，而是 ClientAlive 先断了

这是一个非常典型的“误会”：配置了TMOUT，但SSH连接在预期时间之前就被断开。这往往不是TMOUT失效，而是SSH连接层自己的保活机制抢先了一步。无论是客户端（如PuTTY中设置的“Seconds between keepalives”）还是服务端（sshd_config中的ClientAliveInterval），如果其超时时间设置得比TMOUT更短，连接就会在Shell检测到空闲之前，被SSH协议层强制终止。

• 协同配置原则：确保SSH层的断连时间大于TMOUT的超时时间。例如，设TMOUT=600（10分钟），那么SSH服务端可以配置ClientAliveInterval 400和ClientAliveCountMax 2，这样SSH连接最多允许空闲约800秒，从而保证TMOUT能先触发。
• 验证方式：登录后执行sleep 610命令。如果是在610秒后断开，说明是TMOUT在起作用；如果在5分钟左右就断开，那基本可以断定是ClientAliveInterval的干预。
• 后台命令干扰：运行像watch -n 1 date或tail -f /var/log/syslog这类持续输出的命令，会不断重置TMOUT的计时器，因为每次标准输出都被视为一次“活动”。

别指望 TMOUT 管所有场景，关键任务得换方案

必须清醒认识到，TMOUT的效力范围仅限于交互式Shell。对于非交互式脚本、通过sudo -i启动的新Shell，以及tmux、screen等终端复用器内的会话，它要么无法继承，要么其计时机制会被重置。

• 自动化脚本：在脚本开头加入unset TMOUT是个好习惯，否则脚本中的read命令或等待远程响应的ssh操作可能会因为超时而意外退出。
• 长期运维任务：对于需要长时间运行的远程命令，使用timeout命令是更精准的选择，例如：timeout 3600s ssh user@host 'long-task.sh'，可以严格控制单次连接的生命周期。
• 强管控需求：如果需要对所有登录方式（包括图形界面）进行更底层、更难绕过的超时控制，可以配合PAM模块。通过配置/etc/security/time.conf，添加如*;Al0000-2400;MinIdle=600;的规则，利用pam_time.so实现系统级的空闲超时管理。

还有一个容易被忽略的细节：TMOUT对root用户同样生效。但是，如果你使用sudo -i切换到root环境，由于sudo默认的env_reset选项会重置环境变量，新的Shell可能不会继承TMOUT。这时，需要确认/etc/sudoers文件中是否包含了Defaults env_keep += "TMOUT"这一行配置。