Eu tenho um sshd_configarquivo que está configurado para não permitir que usuários do grupo nologinentrem sshneste servidor ( DenyGroups nologin). Embora eu tenha vários usuários neste grupo, quero substituir isso para um dos usuários (vamos chamar o usuário greg).
Tentei adicionar AllowUsers gregao sshd_configarquivo, mas não pareceu funcionar. É possível fazer isso?
O sshd_config se parece com:
AllowTcpForwarding no
ClientAliveCountMax 1
ClientAliveInterval 300
LoginGraceTime 1m
PermitRootLogin no
Protocol 2
RSAAuthentication no
Subsystem sftp /usr/libexec/openssh/sftp-server
UsePAM yes
X11Forwarding yes
DenyGroups nologin
LogLevel INFO
MaxAuthTries 4
IgnoreRhosts yes
HostBasedAuthentication no
PermitEmptyPasswords no
PermitUserEnvironment no
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
Adicionar "AllowUsers greg" (greg é um membro do grupo de login) não permite que greg faça ssh.
Responder1
A página de manual sshd_config(5)descreve o comportamento dessas opções assim:
Se especificado,o login é permitido/proibido apenas para usuários/grupos cujo grupo principal ou lista ou nome de grupo suplementar corresponda a um dos padrões.Somente nomes de grupos são válidos; um ID de grupo numérico não é reconhecido. Por padrão, o login é permitido para todos os grupos. As diretivas permitir/negar são processadas na seguinte ordem:Negar usuários,Permitir usuários,Negar grupos, e finalmentePermitir grupos.
Isso sugere que se você definir apenas essas duas opções,deveTrabalho para você. Você provavelmente usa outras opções que interferem na sua configuração. Você pode postar toda a configuração que você está usando?
Responder2
Parece simples para mim, basta remover gregdo nologingrupo.
Responder3
Você não pode fazer isso dessa maneira, poistodosas diretivas são avaliadas antes de sshdtomar uma decisão final. Assim, embora gregseja permitido por AllowUsers, é negado posteriormente pela DenyGroupscorrespondência com o grupo em que ele está. O manual é um tanto inespecífico aqui, porque não menciona que todas as diretivas são avaliadas na ordem descrita por Jakuje, então tentei isso no OpenSSH 5.2p1 em um sistema sobressalente. Na verdade, a ordem de avaliação deve ser inversa (primeiro permitir/negar grupos, depois permitir/negar usuários). Isso faria muito mais sentido, pelo menos para mim.