שאלה כיצד להשבית כניסה SSH עם סיסמה עבור משתמשים מסוימים?


על לינוקס (דביאן לסחוט) אני רוצה להשבית התחברות SSH באמצעות סיסמה למשתמשים מסוימים (קבוצה נבחרת או כל המשתמשים למעט השורש). אבל אני לא רוצה להשבית כניסה באמצעות אישור עבור אותם.

לערוך you תודה רבה על התשובה המפורטת! מסיבה כלשהי זה לא עובד על השרת שלי:

Match User !root
PasswordAuthentication no

... אבל ניתן להחליף בקלות על ידי

PasswordAuthentication no
Match User root
PasswordAuthentication yes

146
2018-06-30 14:31




אולי זה בגלל הזחה שלך? - nil
ראוי להזכיר כי שורות אלה תחת התאמה צריך להיות בסוף הקובץ - zidarsk8
שורש גם לא עובד בשבילי. הגישה השנייה עשתה את הטריק. - natenho
ראיתי מקרים שבהם Match User "!root,*" עשה את העבודה. - Roman Hocke


תשובות:


נסה Match in sshd_configYou

Match User user1,user2,user3,user4
    PasswordAuthentication no

או לפי קבוצה:

Match Group users
    PasswordAuthentication no

או, כאמור בהערה, בשלילה:

Match User !root
    PasswordAuthentication no

שים לב שההתאמה יעילה "עד לקו אחר או לקצה הקובץ". (הזחה אינה משמעותית)


157
2018-06-30 16:13



מעדיף Match user !root בשביל המגן הזה - 84104
מדהים, לא ידעתי על התחביר התאמה. אחת ההצעות הייתי עושה, אם כי, היא אם זה הציבור מול שרת, אני לא אתן שורש התחברות דרך SSH בכלל. כנראה לא עסקה ענקית אם זה פנימי .. - Safado
@SpacemanSpiff זה מה) סיסמאות חזקות ב) denyhosts / fail2ban הם עבור. - ceejayoz
@ deed02392 אתה יכול לשקול מפתח להיות באמת, חזק באמת סיסמה אם אתה רוצה. - ceejayoz
זה כל כך הרבה יותר חזק שזה לא אותו מגרש כדור, זאת היתה הנקודה שלי. אימות סיסמאות צריך להיות מושבת גם עבור השורש ומפתחות מותר רק עבור כניסות. - deed02392


Match in sshd_config עובד טוב. אתה צריך להשתמש Match all כדי לסיים את גפרור המשחק אם אתה משתמש OpenSh 6.5p1 או מעל. דוגמא:

PasswordAuthentication no
Match User root
PasswordAuthentication yes
Match all

12
2017-11-27 22:13





יש כמה דרכים שאתה יכול לעשות את זה - ראשית, אתה יכול concievably להפעיל השני shdd daemon בנמל אחר עם תצורה שונה - קצת שלה גרזן, אבל עם קצת עבודה chroot זה צריך לעבוד בסדר גמור.

כמו כן, אתה יכול לאפשר אימות סיסמה, אבל לנעול את הסיסמאות עבור כל פרט למשתמש אחד. המשתמשים עם הסיסמאות הנעולות עדיין יהיו מסוגל לאמת עם המפתחות הציבוריים.


1
2018-06-30 15:42





אתה יכול פשוט ללכת / etc / ssh / sshd_config הקובץ ולהוסיף שורה כדי לאפשר -> AllowUsers user1 כדי לדחות --- משתמש DenyUsers

אנו יכולים לאפשר / למנוע כניסה עבור קבוצה מסוימת של המארחים באמצעות hostsallow או hostsden קבצים הממוקם / תיקייה וכו '


-1
2018-03-04 06:10