Как ограничить ssh доступ для localhost только?

Кажется, что Ваш make-файл (stdout/stderr) вывод инициировал значение по умолчанию quickfix режим Вашей энергии.

Возможно, /some/other/dir/source.hкомпилируется Вашим рекурсивным, выполняют вызов, и предупреждение производится и quickfix переходы режима для своего местоположения. Или имя файла является частью другого вывода make-файла, и quickfix режим принимает его за предупреждение/сообщение об ошибке компилятора.

Можно попытаться отключить quickfix режим для сессии (если Вам не нужен он), измените ошибочный формат или измените Ваш make-файл для генерации менее вывода.

5
21.01.2014, 09:14
3 ответа

Посмотрите AllowUsers и DenyUsers директивы sshd_config страница справочника (и возможно также AllowGroups и DenyGroups).

В основном эти директивы принимают список пользовательских шаблонов user@host формат разделяется пробелами. Директивы имеют следующий приоритет: DenyUsers, AllowUsers, DenyGroups, и наконец AllowGroups.

Для простого случая просто разрешения определенного пользователя от localhost, только следующая строка должна быть добавлена:

AllowUsers user@localhost

Это неявно отклонит любого пользователя отовсюду, который не является user@localhost.

6
27.01.2020, 20:34
  • 1
    Спасибо @PedroRomano Так. Поскольку я понял руководство, я должен добавить следующие строки к/etc/ssh/sshd_config: пользователь DenyUsers @* и AllowUsers user@localhost.Правильно? –  denys 30.10.2012, 16:13
  • 2
    нет. моя попытка является неправильной... –  denys 30.10.2012, 16:29
  • 3
    просто добавляет AllowUsers user@localhost. DenyUser user@* имеет приоритет AllowUsers и отклонит пользователя отовсюду. Путем установки AllowUsers user@localhost Вы только позволяете тому пользователю от того хоста явно и отовсюду еще отклоняете всех остальных неявно. –  Pedro Romano 30.10.2012, 16:34
  • 4
    да, но эта строка влияет также на других пользователей. Всем другим пользователям отказывают. Я не хочу касаться других пользователей.... –  denys 30.10.2012, 16:54
  • 5
    То, в чем Вы нуждаетесь, к сожалению, не тривиально для достижения из-за Deny всегда имение приоритет Allow. Можно ли создать группу со всеми другими пользователями и добавить ли AllowGroup group@* директива для той группы? –  Pedro Romano 30.10.2012, 17:01

Что было бы, если Вы вызываете аутентификацию с открытым ключом для определенного пользователя и затем ограничиваете его открытый ключ с a from= опция в авторизованном файле ключей.

Вынудить определенного пользователя использовать аутентификацию с открытым ключом:

Match User Bad_User
    PasswordAuthentication no
    AuthorizedKeysFile /somewhere/the/user/cannot/touch

И затем в авторизованных ключах файл настраивают его ключ как это:

from=localhost ssh-rsa AAAA...

Можно читать больше о Match директивы в man sshd_config, и об авторизованных опциях ключей в man sshd.

4
27.01.2020, 20:34
  • 1
    , который оборотная сторона - то, что, пока пользователь может войти в систему, они могут также изменить свой authorized_keys файл. –  Jenny D 21.01.2014, 10:10

Вы могли использовать PAM (UsePAM в sshd_config) и добавить

account  required     pam_access.so

к конфигурации PAM для ssh.

Затем можно определить политики доступа в /etc/security/access.conf

+ : john : 127.0.0.1 ::1
- : john : ALL
+ : ALL : ALL

(непротестированный)

2
27.01.2020, 20:34

Теги

Похожие вопросы