Вопросы Теги

Разрешить доступ по SSH, но ограничить доступ root к заданному набору IP-адресов

Хорошо технически Вы можете (установить все Ose в режиме EFI и добавить загрузчики режима BIOS для тех, которых Вы хотите к), но я рекомендовал бы против той пустой траты времени, так как Вы будете, вероятно, скучать для переключения режимов довольно скоро; если единственная ОС требует EFI, Вы - более обеспеченный идущий EFI, и использование повторно находят или переоборудуют.

Следите за тем установщиком Debian 7.0 beta4, испытал некоторые затруднения при установке GRUB в режиме EFI (у этого должно быть некоторое более или менее легкое обходное решение, но IIRC находятся все еще в 7.0.0 выпусках).

В случае, если требуется проверить, удается ли это для Вас, пробуют openSUSE 12.2/12.3 или ALT Linux 7.0, я протестировал бывший и добавил поддержку UEFI последнему. Получение Debian там не должно представлять огромную проблему на то, что прочитало книгу Rod по EFI также.

3
31.08.2015, 16:41
3 ответа

В зависимости от вашей версии ssh вы можете установить условие соответствия для ваших пользователей AllowUsers. man sshd_config перечисляет разрешенные команды в разделе Match. Если здесь есть AllowUsers, вы можете попробовать следующее: убедитесь, что он находится в конце файла. 

Match User root
 AllowUsers root@ a.b.c.d root@q.r.s.t

Например, не в OpenSSH_6.0p1 Debian, но нормально в OpenSSH_6.6.1p1 Ubuntu.

3
27.01.2020, 21:10

Другая рабочая группа указала мне на модуль pam_access. При этом используется формат, обычно встречающийся в /etc/security/access.conf, но можно указать любой файл; он может быть включен для всей системы, или только для процесса sshd. Я не пробовал этого, но предположительно я могу настроить pam_access, используя настройки по умолчанию (на RHEL), добавив его в раздел auth в /etc/pam.d/sshd. Затем файл access.conf выглядит следующим образом:

+ : root : hosta hostb hostx
- : root : ALL
0
27.01.2020, 21:10

Моя рабочая коллегия указала мне в том же направлении, что и /u/meuh, используя несколько иной подход. 

Match Address "172.24.*.33"
  PermitRootLogin yes
Match Address "192.168.1.18,192.168.1.20"
  PermitRootLogin yes
6
27.01.2020, 21:10

Теги

Похожие вопросы

  • 1
    Именованные параметры функции bash [дубликат] 02.03.2018
    Всегда задавался этим вопросом, но никогда полностью не исследовал - есть ли способ получить именованные параметры в bash? Например, у меня есть это: function ql_maybe_fail { if [[ "$1" == "true" ]]; then echo "...
  • 2
    Переопределение флагов udchcp, используемых ifup в BusyBox 12.05.2015
    Я работаю на системе, для которой я не создавал сборку BusyBox. Я не хочу перекомпилировать BusyBox, опасаясь, что моя конфигурация не будет полностью соответствовать оригиналу, и, кроме того, ...
  • 3
    Shell vi печать режима (аргумент: повторение): Как удалить его? 15.04.2014
    Каждый раз, когда Вы находитесь в vi командном режиме на оболочке и поражаете число, как 8, "(аргумент: 8)" показывает в начале строки. Кто-либо знает, как заставить его не сделать этого? Перемещение строки, которую я ввожу...
  • 2
    касание и gzip весь HTML, CSS, файлы JS в каталоге рекурсивно 27.04.2014
    Я пытаюсь оптимизировать сервер Nginx. Я позволил Gzip_Static_Module служить предварительно сжатым gzip статическим файлам как CSS, JS, HTML. Nginx Wiki говорит что метки времени сжатого и...
  • 3
    Проверка резервного копирования .tar.gz 12.07.2013
    Редактирование 3: Для людей, которые считают этот вопрос: - проверяют загадочно сбои с "Предупреждением: не Может искать: Недопустимый ищут", следовательно я рекомендую искать альтернативные способы проверить архивы. Мой...
  • 1
    Рекурсивное удаление пустых каталогов с исключением точечных файлов/каталогов? 28.10.2018
    Как рекурсивно удалить все каталоги, не содержащие файлов, и сделать исключение скрытых каталогов? Многие каталоги, которые я хочу удалить, содержат скрытые каталоги (точка ...
  • -1
    Пробельный символ printf в сценарии bash 19.11.2011
    Как можно экранировать пробельный символ в printf для этого сценария, который в настоящее время выполняется в клиенте Cygwin? Строка, содержащая пробел (которая сама по себе работает из команды ...
  • 7
    Как я могу запустить приложения от 2 ttys на запуске? 13.12.2012
    Я в настоящее время получал 2 ttys, входящие в систему автоматически, но я должен запустить сценарий узла от одного и программу C от другого, как только устройство загружается. Устройством является Raspberry Pi, запускающий Raspbian....
  • 1
    только что установил wine5, возникают ошибки 21.04.2020
    У меня Debian 10 и я установил wine5 с помощью :sudo apt install --install -рекомендует winehq -stable Я получаю эти ошибки при попытке запустить Notepad++ :0009 :fixme :шрифт :получить _контур _текст _метрики не удалось...
  • 0
    Что на самом деле делает capsh --print? 04.03.2020
    Я понимаю, что возможности Linux определяются процессами/файлами. Но когда я делаю capsh --print, он говорит мне о возможностях пользователя. Итак, что именно делает capsh --print? Возможности ...