Отключите аутентификацию по паролю для удаленных пользователей только
Каждый файл (это - текстовый файл) является одной сессией PHP. Путь к сессиям - как Вы записали (на моем компьютере,/var/lib/php5 /*). Каждая сессия имеет следующее имя:
sess_IDsession
Я думаю, что размер файлов сессий является подходящим индикатором размера сессии, потому что в одном файле хранятся все данные приложения для одной сессии PHP. Таким образом, лучший способ состоит в том, чтобы записать сценарий, который перечислит файлы сессии размером и предупредит Вас, когда некоторые из них достигнут определенного treshold.
Из справочной страницы sshd_config (5) :
Match Introduces a conditional block. If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another
Match line or the end of the file.
The arguments to Match are one or more criteria-pattern pairs. The available criteria are User, Group, Host, LocalAddress, LocalPort, and Address. The match patterns may consist of single entries or comma-
separated lists and may use the wildcard and negation operators described in the PATTERNS section of ssh_config(5).
The patterns in an Address criteria may additionally contain addresses to match in CIDR address/masklen format, e.g. “192.0.2.0/24” or “3ffe:ffff::/32”. Note that the mask length provided must be consistent
with the address - it is an error to specify a mask length that is too long for the address or one with bits set in this host portion of the address. For example, “192.0.2.0/33” and “192.0.2.0/8” respectively.
Это означает, что если 10.0.0.0/24 является вашей локальной сетью, вы можете иметь PasswordAuthentication отключен в основной конфигурации, а блок Match выглядит следующим образом:
....
PasswordAuthentication No
....
Match Address 10.0.0.0/24
PasswordAuthentication Yes
Опция, которую я видел ранее, - это запуск двух экземпляров чтения sshd из отдельных файлов конфигурации. Ваш по умолчанию прослушивает обычный SSH-трафик, настроенный так надежно, как вы хотите.
Второй экземпляр - это ваш «черный ход», который прослушивает только отдельный порт или отдельный IP-адрес, возможно, с соответствующими правилами брандмауэра для предотвращения доступа извне. Он настроен иначе; возможно, разрешение аутентификации по паролю, возможно, разрешение доступа к учетным записям, которые запрещены на первичном сервере и т. д.
Вы можете поместить всех удаленных пользователей в локальную (дополнительную) группу, например. 'remoteusr' и запретить вход с паролем в 'sshd_config'
Match Group remoteusr
PasswordAuthentication no