openssh에서는 루트 로그인(PermitRootLogin no)을 제한할 수 있지만 예외가 있을 수 있습니까?
답변1
루트로 로그인하는 것은 좋은 생각이 아니라는 점을 고려하여 sshd 맨페이지를 살펴보십시오.
허가루트로그인
루트가 ssh(1)를 사용하여 로그인할 수 있는지 여부를 지정합니다. 인수는 ``yes'', ``without-password'', ``forced-commands-only'' 또는 ``no''여야 합니다. 기본값은 '예'입니다.
이 옵션이 ``without-password''로 설정되면 루트에 대한 비밀번호 인증이 비활성화됩니다.
이 옵션을 ``forced-commands-only''로 설정하면 공개 키 인증을 사용한 루트 로그인이 허용되지만 명령 옵션이 지정된 경우에만 허용됩니다(일반적으로 루트 로그인이 허용되지 않는 경우에도 원격 백업을 수행하는 데 유용할 수 있음). 허용된). 다른 모든 인증 방법은 루트에 대해 비활성화됩니다.
이 옵션이 "no"로 설정되면 루트는 로그인이 허용되지 않습니다.
PermitRootLogin without-password따라서 비밀번호 인증을 허용하지 않고 개인/공개 키 인증을 허용하는 데 사용할 수 있습니다 . 또는 PermitRootLogin forced-commands-only대화형 액세스 없이 루트로 로그인할 수 있도록 할 수도 있습니다.
authorized_keys후자의 경우 다음과 같이 사용자 로깅에 대해 활성화할 명령을 지정하기 위해 파일을 편집해야 합니다 .
command="rdiff-backup --server" ssh-rsa AAAAB3NzaC1y... (rest of key)
또는 더 나은 방법은 특정 IP 주소에서만 강제 명령 전용 루트 로그인을 허용하는 것입니다.
from="10.1.1.1",command="/home/user/command/to/execute" ssh-rsa AAAAB3NzaC1y... (rest of key)