Coincidir con la ubicación del usuario en sshd_config

tag-icon tag-icon ssh
Coincidir con la ubicación del usuario en sshd_config

quiero hacer esto en/etc/ssh/sshd_config

Protocol                                     2
Ciphers                                      aes256-ctr
PermitRootLogin                              no

X11Forwarding                                no

Match User joebob
X11Forwarding yes

AuthorizedKeysFile                           .ssh/authorized_keys
PermitEmptyPasswords                         no
RSAAuthentication                            no
RhostsRSAAuthentication                      no
IgnoreUserKnownHosts                         no

El problema es

Iniciando SSH daemon/etc/ssh/sshd_config línea 40:
la directiva 'IgnoreUserKnownHosts' no está permitida dentro de un bloque Match

¿Parece que muchas directivas después de la primera después de la declaración del partido se incluyen como parte del partido?

Mi declaración Match funciona si la coloco al final del sshd_configarchivo.

No quiero hacer eso.

¿Hay alguna manera de tener esta declaración coincidente cerca de la parte superior del archivo, justo después de mi declaración X11Forwarding no?

Tengo todas las configuraciones de ssh pertinentes que me interesan en la parte superior del archivo, quiero que mi usuario coincidente justo después de X11reenvíe no para saber lo que está sucediendo. Lo olvidaré si se coloca al final del archivo.

Mi objetivo es tener X11Forwarding deshabilitado para todos excepto para una cuenta de usuario local definida en /etc/passwd.

Respuesta1

Como se menciona en man sshd_configuna Matchsección:

Sólo se puede utilizar un subconjunto de palabras clave en las líneas que siguen a una Matchpalabra clave. Las palabras clave disponibles sonAllowAgentForwarding, AllowTcpForwarding, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, KbdInteractiveAuthentication, KerberosAuthentication, KerberosUseKuserok, MaxAuthTries, MaxSessions, PubkeyAuthentication, AuthorizedKeysCommand, AuthorizedKeysCommandRunAs, PasswordAuthentication , PermitEmptyPasswords, PermitOpen, PermitRootLogin, RequiredAuthentications1, RequiredAuthentications2, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Reenvío y X11UseLocalHost

Muy bien, como ves, IgnoreUserKnownHostsno puede estar en la sección Coincidencia. mueva eso arriba del primer partido si lo tiene o coloque todas las Matchpartes (si las hay, una o más) al final del archivo de configuración (que se sugiere); de lo contrario, toda la configuración después de Match anulará la configuración global y se aplicará joebobsolo a su usuario ().

Por lo tanto, se sugiere mover todas sus coincidencias al final del archivo de configuración.

Nota: Cada Matchbloque puede finalizar iniciando otro Matchbloque o finalizando el archivo de configuración o si escribe Match Allcada configuración posterior se considerará global.

Respuesta2

Para marcar el final de un bloque de Coincidencia, puedes usar "Coincidir todo"

Protocol                                     2
Ciphers                                      aes256-ctr
PermitRootLogin                              no

X11Forwarding                                no

Match User joebob
X11Forwarding yes
Match all

AuthorizedKeysFile                           .ssh/authorized_keys
PermitEmptyPasswords                         no
RSAAuthentication                            no
RhostsRSAAuthentication                      no
IgnoreUserKnownHosts                         no

información relacionada