Вопросы Теги

Переопределите DenyGroups в sshd_config

Я имею sshd_config файл, который настроен, чтобы не позволить пользователям в группе nologin кому: ssh в к этому серверу (DenyGroups nologin). В то время как у меня есть несколько пользователей в этой группе, я действительно хочу переопределить это для одного из пользователей (давайте позвоним пользователю greg).

Я пытался добавить AllowUsers greg к sshd_config файл, но это, казалось, не работало. Действительно ли возможно сделать это?

sshd_config похож:

   AllowTcpForwarding no
   ClientAliveCountMax 1
   ClientAliveInterval 300
   LoginGraceTime 1m
   PermitRootLogin no
   Protocol 2 
   RSAAuthentication no
   Subsystem       sftp    /usr/libexec/openssh/sftp-server
   UsePAM yes
   X11Forwarding yes
   DenyGroups nologin
   LogLevel INFO
   MaxAuthTries 4
   IgnoreRhosts yes
   HostBasedAuthentication no
   PermitEmptyPasswords no
   PermitUserEnvironment no
   Ciphers aes128-ctr,aes192-ctr,aes256-ctr

Добавление "AllowUsers greg" (greg член группы входа в систему) не позволяет greg ssh.

0
задан 24 September 2015 в 18:50
3 ответа

Мне кажется, просто удалите greg из группы nologin .

1
ответ дан 4 December 2019 в 12:26

На странице руководства для sshd_config (5) описывается поведение этих параметров следующим образом:

Если указано, вход в систему разрешен / запрещен только для пользователей / групп, чья основная или дополнительная группа, список или имя соответствуют одному из шаблонов. Действительны только имена групп; числовой идентификатор группы не распознается. По умолчанию вход разрешен для всех групп. Директивы allow / deny обрабатываются в следующем порядке: DenyUsers , AllowUsers , DenyGroups и, наконец, AllowGroups .

Это намекает, что если вы определяете только эти два параметра, он должен работать для вас. Вероятно, вы используете другие параметры, которые мешают вашей настройке. Можете ли вы опубликовать всю используемую конфигурацию?

1
ответ дан 4 December 2019 в 12:26

Вы не можете сделать это таким образом, поскольку все директивы оцениваются до того, как sshd примет окончательное решение. Таким образом, хотя greg разрешен AllowUsers , он позже будет запрещен DenyGroups , соответствующей группе, в которой он находится. Руководство здесь несколько неопределенно, потому что оно не упоминает, что все директивы оцениваются в порядке, описанном Jakuje, поэтому я попробовал это в OpenSSH 5.2p1 на резервной системе. Действительно, порядок оценки должен быть обратным (сначала разрешить / запретить группы, затем разрешить / запретить пользователям). В этом было бы гораздо больше смысла, по крайней мере, для меня.

1
ответ дан 4 December 2019 в 12:26

Теги

Похожие вопросы