Corresponder ao posicionamento do usuário em sshd_config

tag-icon tag-icon ssh
Corresponder ao posicionamento do usuário em sshd_config

Eu quero fazer isso em/etc/ssh/sshd_config

Protocol                                     2
Ciphers                                      aes256-ctr
PermitRootLogin                              no

X11Forwarding                                no

Match User joebob
X11Forwarding yes

AuthorizedKeysFile                           .ssh/authorized_keys
PermitEmptyPasswords                         no
RSAAuthentication                            no
RhostsRSAAuthentication                      no
IgnoreUserKnownHosts                         no

O problema é

Iniciando o daemon SSH/etc/ssh/sshd_config linha 40:
A diretiva 'IgnoreUserKnownHosts' não é permitida em um bloco Match

Parece que quantas diretivas após a primeira após a instrução Match estão sendo incluídas como parte da partida?

Minha instrução Match funciona se eu colocá-la no final do sshd_configarquivo.

Eu não quero fazer isso.

Existe uma maneira de ter essa instrução de correspondência próxima ao topo do arquivo, logo após minha instrução X11Forwarding no?

Eu tenho todas as configurações ssh pertinentes que me interessam no topo do arquivo, quero meu usuário correspondente logo após o encaminhamento do X11, não, então sei que está acontecendo. Vou esquecer se for colocado no final do arquivo.

Meu objetivo é desabilitar o X11Forwarding para todos, exceto para uma conta de usuário local definida em /etc/passwd.

Responder1

Conforme mencionado na man sshd_configseção Match:

Apenas um subconjunto de palavras-chave pode ser usado nas linhas após uma Matchpalavra-chave. As palavras-chave disponíveis sãoAllowAgentForwarding, AllowTcpForwarding, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, KbdInteractiveAuthentication, KerberosAuthentication, KerberosUseKuserok, MaxAuthTries, MaxSessions, PubkeyAuthentication, AuthorizedKeysCommand, AuthorizedKeysCommandRunAs, , PermitEmptyPasswords, PermitOpen, PermitRootLogin, RequiredAuthentications1, RequiredAuthentications2, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding e X11UseLocalHost

tudo bem, como você vê, IgnoreUserKnownHostsnão pode estar na seção Match. mova o primeiro Match acima, se tiver, ou coloque todas as Matchpartes (se houver, uma ou mais) no final do arquivo de configuração (o que é sugerido); caso contrário, toda a configuração após o Match substituirá a configuração global e será aplicada joebobapenas ao seu usuário ().

então sugerimos mover todos os seus Match para o final do arquivo de configuração.

Nota: Cada Matchbloco pode terminar iniciando outro Matchbloco ou final do arquivo de configuração ou se você digitar Match Alltodas as configurações subsequentes serão consideradas globais.

Responder2

Para marcar o final de um bloco Match, você pode usar "Match all"

Protocol                                     2
Ciphers                                      aes256-ctr
PermitRootLogin                              no

X11Forwarding                                no

Match User joebob
X11Forwarding yes
Match all

AuthorizedKeysFile                           .ssh/authorized_keys
PermitEmptyPasswords                         no
RSAAuthentication                            no
RhostsRSAAuthentication                      no
IgnoreUserKnownHosts                         no

informação relacionada