Как ограничить ssh доступ для localhost только?
Кажется, что Ваш make-файл (stdout/stderr) вывод инициировал значение по умолчанию quickfix режим Вашей энергии.
Возможно, /some/other/dir/source.hкомпилируется Вашим рекурсивным, выполняют вызов, и предупреждение производится и quickfix переходы режима для своего местоположения. Или имя файла является частью другого вывода make-файла, и quickfix режим принимает его за предупреждение/сообщение об ошибке компилятора.
Можно попытаться отключить quickfix режим для сессии (если Вам не нужен он), измените ошибочный формат или измените Ваш make-файл для генерации менее вывода.
Посмотрите AllowUsers и DenyUsers директивы sshd_config страница справочника (и возможно также AllowGroups и DenyGroups).
В основном эти директивы принимают список пользовательских шаблонов user@host формат разделяется пробелами. Директивы имеют следующий приоритет: DenyUsers, AllowUsers, DenyGroups, и наконец AllowGroups.
Для простого случая просто разрешения определенного пользователя от localhost, только следующая строка должна быть добавлена:
AllowUsers user@localhost
Это неявно отклонит любого пользователя отовсюду, который не является user@localhost.
Что было бы, если Вы вызываете аутентификацию с открытым ключом для определенного пользователя и затем ограничиваете его открытый ключ с a from= опция в авторизованном файле ключей.
Вынудить определенного пользователя использовать аутентификацию с открытым ключом:
Match User Bad_User
PasswordAuthentication no
AuthorizedKeysFile /somewhere/the/user/cannot/touch
И затем в авторизованных ключах файл настраивают его ключ как это:
from=localhost ssh-rsa AAAA...
Можно читать больше о Match директивы в man sshd_config, и об авторизованных опциях ключей в man sshd.
-
1, который оборотная сторона - то, что, пока пользователь может войти в систему, они могут также изменить свой authorized_keys файл. – Jenny D 21.01.2014, 10:10
Вы могли использовать PAM (UsePAM в sshd_config) и добавить
account required pam_access.so
к конфигурации PAM для ssh.
Затем можно определить политики доступа в /etc/security/access.conf
+ : john : 127.0.0.1 ::1
- : john : ALL
+ : ALL : ALL
(непротестированный)
Si desea restringir el reenvío de TCP para ese usuario, también puede configurarlo en su archivo sshd_config, que normalmente se encuentra en /etc/ssh/sshd_config, con una regla Matchcomo la siguiente:
Match User <username>
AllowTcpForwarding no
Match User <username> Address *,!127.0.0.1,!::1
ForceCommand /bin/false
Esto hará cumplir que cada vez que el usuario con el nombre de usuario especificado inicie sesión a través de SSH, si no es desde localhost (, es decir, la dirección IP 127.0.01 o ::1 ), el sistema ejecutará /bin/falsepara devolver un código de error, en lugar de ejecutar algo útil como un shell.
Como señaló rudimeier, es necesario prohibir el reenvío de puertos para evitar que el usuario abra una conexión SSH inicial con reenvío de puertos a localhost y sin ejecutar ningún comando (p. usando los argumentos -Ny -Lpara OpenSSH ), luego abriendo una conexión SSH posterior a través de ese túnel, que parecería provenir de localhost y, por lo tanto, estaría permitido.
AllowUsers user@localhost.DenyUser user@*имеет приоритетAllowUsersи отклонит пользователя отовсюду. Путем установкиAllowUsers user@localhostВы только позволяете тому пользователю от того хоста явно и отовсюду еще отклоняете всех остальных неявно. – Pedro Romano 30.10.2012, 16:34Denyвсегда имение приоритетAllow. Можно ли создать группу со всеми другими пользователями и добавить лиAllowGroup group@*директива для той группы? – Pedro Romano 30.10.2012, 17:01