Pokud útočník získá přihlášení root do vašeho systému, může způsobit větší škody, než kdyby získal normální uživatelské přihlášení. Viděli jsme z našeho předchozího článku – Jak zakázat vzdálené přihlášení pro uživatele root na počítači se systémem Linux. Nyní přeci jen uvidíme, jestli máme na linuxovém serveru vytvořeno nějakých 10 uživatelských účtů (pro různé skupinové aktivity, jako je HR, finance atd.), nemusíme povolovat vzdálené přihlášení ke všem těmto 10 účtům. V tomto tutoriálu uvidíme, jak povolit nebo zakázat konkrétním uživatelským účtům vzdálené přihlášení k serveru Linux.
SSH poskytuje 4 následující příkazy pro povolení nebo zamítnutí přístupu k serveru. Ve výchozím nastavení povoluje všechny skupiny a uživatele.
- Povolit skupiny
- AllowUsers
- DenyGroups
- Odmítnout uživatele
Poznámka:Před úpravou jakékoli konfigurace na úrovni systému proveďte potřebnou zálohu.
Chcete-li umožnit konkrétním dvěma uživatelům jménem Amy a henry vzdálené přihlášení k serveru, přidejte níže uvedené řádky do souboru /etc/ssh/sshd_config pomocí svého oblíbeného editoru (VIM je můj oblíbený editor).
AllowUsers admin amy
Pro snadné ovládání v budoucnu můžete přidat více uživatelů do jedné skupiny a povolit uživatele podle skupiny, do které patří. Například:zvažte, že henry a amy spolupracují ve finančním oddělení. Vytvořte společný název skupiny s názvem finance, jak je znázorněno níže:
groupadd –r finance
Nyní vytvořte oba uživatele henry a amy patřící do finanční skupiny, jak je uvedeno níže:
useradd -G finance henry
useradd -G finance amy
Povolit uživatelům, kteří patří do konkrétní skupiny zvanéfinance pro vzdálené přihlášení k serveru přidejte níže uvedený řádek do souboru /etc/ssh/sshd_config.
AllowGroups finance
Díky tomu nemusíme používat AllowUsers .
Další alternativní direktivy jsou DenyGroups a DenyUsers které provádějí přesný opak výše zmíněných AllowGroups a AllowUsers respektive.
Chcete-li ověřit správnou aktualizaci konfiguračního souboru, bez restartování služby sshd spusťte níže uvedené příkazy:
[root@catest ~]# /usr/sbin/sshd -t [root@catest ~]# echo $? 0 [root@catest ~]#
Pokud echo $? výstupy příkazu 0 pak je ověření úspěšné, jinak se zobrazí chyba s uvedením, co jsou chybná data:
[root@catest ~]# /usr/sbin/sshd -t /etc/ssh/sshd_config: line 116: Bad configuration option: AllowUser /etc/ssh/sshd_config: terminating, 1 bad configuration options [root@catest ~]#
Po ověření nezapomeňte restartovat sshd, jak je znázorněno níže:
[root@catest ~]# /etc/init.d/sshd restart