Soru Bazı kullanıcılar için SSH giriş şifresi nasıl devre dışı bırakılır?


Linux'ta (Debian Squeeze) SSH girişini bazı kullanıcılar (seçili grup veya root dışındaki tüm kullanıcılar) için parola kullanarak devre dışı bırakmak istiyorum. Ama onlar için sertifika kullanarak giriş yapmayı devre dışı bırakmak istemiyorum.

Düzenle: ayrıntılı cevap için çok teşekkürler! Nedense bu benim sunucumda çalışmıyor:

Match User !root
PasswordAuthentication no

... ancak kolayca değiştirilebilir

PasswordAuthentication no
Match User root
PasswordAuthentication yes

146
2018-06-30 14:31


Menşei


Belki de girintin yüzünden mi? - nil
Bu satırların, maçın sonunda olması gerektiği belirtilmelidir. - zidarsk8
Kök de benim için çalışmıyor. İkinci yaklaşım hile yaptı. - natenho
Nerede olduğunu gördüm Match User "!root,*" iş yaptı. - Roman Hocke


Cevaplar:


Deneyin Match içinde sshd_config:

Match User user1,user2,user3,user4
    PasswordAuthentication no

Veya gruba göre:

Match Group users
    PasswordAuthentication no

Ya da, yorumda belirtildiği gibi, olumsuzlama ile:

Match User !root
    PasswordAuthentication no

Eşleşmenin etkili olduğunu unutmayın. "başka bir Eşleşme çizgisine veya dosyanın sonuna kadar." (girinti önemli değil)


157
2018-06-30 16:13



tercih etmek Match user !root bu durum için - 84104
Harika, Eşleşme sözdizimini bilmiyordum. Yine de, bu bir kamuya açık sunucu ise, SSH üzerinden root girişine izin vermezdim. Muhtemelen İç olmasa bile büyük bir anlaşma değil. - Safado
@SpacemanSpiff İşte a) güçlü şifreler ve b) denyhosts / fail2ban içindir. - ceejayoz
@ deed02392 İsterseniz gerçekten çok güçlü bir şifre olması için bir anahtar düşünebilirsiniz. - ceejayoz
O kadar güçlü ki, aynı top parkında değil, benim amacım buydu. Şifre kimlik doğrulaması root için de devre dışı bırakılmalı ve tuşlar sadece girişler için izinli olmalıdır. - deed02392


Match içinde sshd_config iyi çalışıyor. Kullanmalısın Match all openssh 6.5p1 veya üzerindeyseniz maç bloğunu sonlandırmak için Örnek:

PasswordAuthentication no
Match User root
PasswordAuthentication yes
Match all

12
2017-11-27 22:13





Bunu yapmanın birkaç yolu vardır - ilk olarak, farklı bir bağlantı noktası ile farklı bir bağlantı noktasında ikinci bir sshd arka planını çalıştırabilirsiniz - bu bir kesmek biraz, ama bazı chroot çalışmaları ile sadece iyi çalışması gerekir.

Ayrıca, şifre kimlik doğrulamasına izin verebilir, ancak şifreleri kilitleyebilirsiniz. tek bir kullanıcı için. Kilitli şifreli kullanıcılar yine de Ortak anahtarlarla kimlik doğrulaması yapabilir.


1
2018-06-30 15:42





/ etc / ssh / sshd_config dosyasına gidip satır ekleyebilirsin İzin vermek için -> AllowUsers kullanıcısı1 Deny --- --- DenyUsers kullanıcısı2

/ etc klasöründe bulunan hosts.allow veya hosts.deny dosyalarını kullanarak belirli bir ana bilgisayar kümesi için oturum açmaya izin verebilir / reddedebiliriz


-1
2018-03-04 06:10