Я имею sshd_config
файл, который настроен, чтобы не позволить пользователям в группе nologin
кому: ssh
в к этому серверу (DenyGroups nologin
). В то время как у меня есть несколько пользователей в этой группе, я действительно хочу переопределить это для одного из пользователей (давайте позвоним пользователю greg
).
Я пытался добавить AllowUsers greg
к sshd_config
файл, но это, казалось, не работало. Действительно ли возможно сделать это?
sshd_config похож:
AllowTcpForwarding no
ClientAliveCountMax 1
ClientAliveInterval 300
LoginGraceTime 1m
PermitRootLogin no
Protocol 2
RSAAuthentication no
Subsystem sftp /usr/libexec/openssh/sftp-server
UsePAM yes
X11Forwarding yes
DenyGroups nologin
LogLevel INFO
MaxAuthTries 4
IgnoreRhosts yes
HostBasedAuthentication no
PermitEmptyPasswords no
PermitUserEnvironment no
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
Добавление "AllowUsers greg" (greg член группы входа в систему) не позволяет greg ssh.
На странице руководства для sshd_config (5)
описывается поведение этих параметров следующим образом:
Если указано, вход в систему разрешен / запрещен только для пользователей / групп, чья основная или дополнительная группа, список или имя соответствуют одному из шаблонов. Действительны только имена групп; числовой идентификатор группы не распознается. По умолчанию вход разрешен для всех групп. Директивы allow / deny обрабатываются в следующем порядке: DenyUsers , AllowUsers , DenyGroups и, наконец, AllowGroups .
Это намекает, что если вы определяете только эти два параметра, он должен работать для вас. Вероятно, вы используете другие параметры, которые мешают вашей настройке. Можете ли вы опубликовать всю используемую конфигурацию?
Вы не можете сделать это таким образом, поскольку все директивы оцениваются до того, как sshd
примет окончательное решение. Таким образом, хотя greg
разрешен AllowUsers
, он позже будет запрещен DenyGroups
, соответствующей группе, в которой он находится. Руководство здесь несколько неопределенно, потому что оно не упоминает, что все директивы оцениваются в порядке, описанном Jakuje, поэтому я попробовал это в OpenSSH 5.2p1 на резервной системе. Действительно, порядок оценки должен быть обратным (сначала разрешить / запретить группы, затем разрешить / запретить пользователям). В этом было бы гораздо больше смысла, по крайней мере, для меня.