У меня две группы в sshd_config:
AllowGroups sftpusers sshusers
И у меня две группы ниже подсистема sftp / usr / lib / openssh / sftp-server:
Match Group sftpusers,!sshusers
ForceCommand internal-sftp
ChrootDirectory %h
AuthorizedKeysFile %h/.ssh/authorized_keys
AllowTcpForwarding no
Поэтому я намерен разрешить всем пользователям в группе sftpusers использовать sftp, а всем пользователям в группе sshusers запрещено использовать sftp.
Но это ограничение Match Group не работает. После перезагрузки ssh-сервера пользователи из группы sshusers все еще могут входить в систему через sftp, что мне не нужно.
На самом деле Match Group вообще не выполняет никаких функций. Как бы я ни настраивал эту строчку, сервис sshd на нее не обращает внимания. Я запускаю Debian v7.6 amd64 с усиленным ядром grsecurity на выделенном сервере DELL PowerEdge R720.