これをやりたい/etc/ssh/sshd_config
Protocol 2
Ciphers aes256-ctr
PermitRootLogin no
X11Forwarding no
Match User joebob
X11Forwarding yes
AuthorizedKeysFile .ssh/authorized_keys
PermitEmptyPasswords no
RSAAuthentication no
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
問題は
SSHデーモンを起動中/etc/ssh/sshd_config 行40:
ディレクティブ 'IgnoreUserKnownHosts' は Match ブロック内では許可されません
Match ステートメントの後の最初のディレクティブの後に、マッチの一部としていくつのディレクティブが含まれているようですか?
Match ステートメントは、ファイルの最後に配置すれば機能しますsshd_config。
そんなことはしたくない。
この 1 つの match ステートメントを、ファイルの先頭近く、X11Forwarding no ステートメントの直後に配置する方法はありますか?
ファイルの先頭に、必要なすべての SSH 設定を配置しています。X11forwarding no の直後に一致するユーザーを配置して、それが行われていることを確認したいです。ファイルの末尾に配置すると、忘れてしまいます。
私の目標は、 で定義されている 1 つのローカル ユーザー アカウントを除くすべてのユーザーに対して X11Forwarding を無効にすることです/etc/passwd。
答え1
man sshd_configおよびセクションで述べたようにMatch:
キーワードの次の行では、キーワードのサブセットのみを使用できます
Match。使用可能なキーワードは次のとおりです。AllowAgentForwarding、AllowTcpForwarding、Banner、ChrootDirectory、ForceCommand、GatewayPorts、GSSAPIAuthentication、HostbasedAuthentication、KbdInteractiveAuthentication、KerberosAuthentication、KerberosUseKuserok、MaxAuthTries、MaxSessions、PubkeyAuthentication、AuthorizedKeysCommand、AuthorizedKeysCommandRunAs、PasswordAuthentication、PermitEmptyPasswords、PermitOpen、PermitRootLogin、RequiredAuthentications1、RequiredAuthentications2、RhostsRSAAuthentication、RSAAuthentication、X11DisplayOffset、X11Forwarding、および X11UseLocalHost
ご覧のとおり、IgnoreUserKnownHostsMatch セクションには配置できません。最初の Match がある場合はその上に移動するか、すべてのMatch部分 (ある場合は 1 つ以上) を構成ファイルの末尾に配置します (推奨)。そうしないと、Match の後のすべての構成がグローバル構成を上書きし、ユーザー ( joebob) にのみ適用されます。
したがって、すべての Match を構成ファイルの最後に移動することをお勧めします。
注: 各Matchブロックは、別のブロックの開始または構成ファイルの終了によって終了できますMatch。また、その後に続くすべての構成を入力すると、Match Allグローバルと見なされます。
答え2
一致ブロックの終了をマークするには、「すべて一致」を使用します。
Protocol 2
Ciphers aes256-ctr
PermitRootLogin no
X11Forwarding no
Match User joebob
X11Forwarding yes
Match all
AuthorizedKeysFile .ssh/authorized_keys
PermitEmptyPasswords no
RSAAuthentication no
RhostsRSAAuthentication no
IgnoreUserKnownHosts no