Вопросы Теги

Сопоставление нескольких пользователей в 'sshd_config'

1) Местоположение для все подключения Wi-Fi - это / etc / NetworkManager / system-connections . Здесь вы можете найти все сохраненные Wi-Fi-подключения в их именованных файлах SSID. Чтобы получить доступ к настройкам Wi-Fi, вы должны быть пользователем с правами администратора, поэтому необходимо использовать sudo.

sudo cd / etc / NetworkManager / system-connections

2) Чтобы изменить соединение, чтобы сделать его точкой доступа, вы можете перейти к соответствующему файлу конфигурации для Wi-Fi-соединения и изменить режим = инфраструктура в mode = ap и сохраните config. Это заставит точку доступа работать.

Когда вы в следующий раз редактируете соединение через пользовательский интерфейс (например, меняете пароль и т. Д.), Значение режима возвращается к значению инфраструктуры. Таким образом, в config.

10
12.02.2017, 20:20
3 ответа

Используйте директиву Match для группы вместо пользователя. Затем добавьте пользователей в эту группу 

Match Group users_with_no_ssh
    PasswordAuthentication yes
    AllowTCPForwarding yes
    ForceCommand /bin/echo 'We talked about this guys. No SSH for you!'
5
27.01.2020, 20:00

Не сделав этого сам, я могу продолжить только то, что написано в руководствах:

Из руководства sshd_config :

Шаблоны соответствия могут состоять из отдельных записей или списков, разделенных запятыми , и могут использовать операторы подстановки и отрицания , описанные в разделе ШАБЛОНОВ ssh_config (5) .

Это означает, что вы должны иметь возможность сказать 

Match User bob,joe,phil
  PasswordAuthentication yes
  AllowTCPForwarding yes
  ForceCommand /bin/echo 'We talked about this guys. No SSH for you!'

См. Также этот ответ на форуме по информационной безопасности: https://security.stackexchange.com/a/18038

28
27.01.2020, 20:00

Я не уверен, что ForceCommand будет хорошо работать с SFTP. Кроме того, возможно, лучше видеть слово «DenyUsers» в журналах. Во всяком случае, я использую этот (ну, может быть, было бы лучше использовать группу):

sshd _конфигурация 

# support, ansible & backup only from specific IP                                                                    
Match User ansible,backup,support Address *,!176.x.x.x                                                          
      DenyUsers ansible,backup,support

Match User backup
        AllowTcpForwarding yes
        AllowAgentForwarding yes
        PermitListen 127.0.0.1:2223
        AcceptEnv RESTIC_REPOSITORY RESTIC_PASSWORD

Проверка конфигурации 

# sshd -T -C addr=176.x.x.x,user=backup | egrep '^((deny|allow)users|permitlisten|acceptenv)'
denyusers root
acceptenv RESTIC_REPOSITORY
acceptenv RESTIC_PASSWORD
permitlisten 127.0.0.1:2223

# sshd -T -C addr=8.8.4.4,user=backup | egrep '^((deny|allow)users|permitlisten|acceptenv)' 
denyusers ansible,backup,support
acceptenv RESTIC_REPOSITORY
acceptenv RESTIC_PASSWORD
permitlisten 127.0.0.1:2223

Тест в реальном мире 

Jan 29 16:50:12 mx1 sshd[71309]: Connection from 199.x.x.x port 21042 on 199.x.x.x port 2222 rdomain "0"   
Jan 29 16:50:13 mx1 sshd[71309]: User support from 199.x.x.x not allowed because listed in DenyUsers
Jan 29 16:50:13 mx1 sshd[71309]: Connection closed by invalid user support 199.x.x.x port 21042 [preauth]
1
27.01.2020, 20:00

Теги

Похожие вопросы