Назад | Перейти на главную страницу

Как использовать и AllowGroups, и AllowUsers в sshd_config?

Я пытаюсь изменить /etc/ssh/sshd_config на моем выделенном сервере debian7 с обоими AllowUsers и AllowGroups. Однако я не могу заставить обоих работать вместе.


Установка


Эта проблема


Вопрос

Да, AllowUsers имеет прецедент над AllowGroups. Если указано, только пользователи, соответствующие шаблону, указанному в AllowUsers может подключиться к экземпляру SSHD.

В соответствии с sshd_config справочная страница:

Директивы allow / deny обрабатываются в следующем порядке: DenyUsers, AllowUsers, DenyGroups, и наконец AllowGroups.

Итак, решение вашей проблемы, вероятно, состоит в том, чтобы использовать одну или другую, возможно, директивы доступа к группам, если группы являются вашим предпочтительным способом управления пользователями.

Ответ Джеффа подробно описывает специфику вопроса, но я нашел этот вопрос, чтобы использовать AllowUsers и AllowGroups по несколько иному сценарию. Я хотел ограничить входящие соединения для пользователей в группе (ssh) из определенных подсетей.

Правила подключения в sshd_config являются фильтром - по мере применения каждого дополнительного правила набор допустимых пользователей может только сокращаться. PATTERNS в ssh_config (5) объясните форму этих правил.

Кроме того, согласно AllowUsers раздел sshd_config:

Если шаблон имеет вид USER @ HOST, тогда USER и HOST проверяются отдельно, ограничивая вход в систему для определенных пользователей с определенных хостов. Критерии HOST могут дополнительно содержать адреса для сопоставления в формате адреса / маски CIDR.

AllowGroups не принимает форму USER @ HOST.

Итак, чтобы принять пользователей 1) в группе ssh и 2) из ​​определенных подсетей / хостов:

AllowUsers *@192.168.1.0/24 *@*.example.com *@1.2.3.4
AllowGroups ssh

Вот решение, которое мы нашли работающим:

AllowUsers user1 user2
Match group ssh-users
    AllowUsers *