Otázka :Jak můžeme omezit přístup uživatelů/skupin do systému pomocí ssh?
SSH používá specifické soubory pro konfiguraci k dosažení těchto různých omezení. Příchozí relace ssh (do hostitele) jsou zpracovávány sshd (démon ssh). Tento proces má svůj vlastní konfigurační soubor /etc/ssh/sshd_config . Parametry v souboru /etc/ssh/sshd_config, které se použijí, jsou AllowGroups , AllowUsers , DenyGroups a DenyUsers . Pokud jsou tyto parametry nastaveny, ovlivní všechny uživatele ze všech hostitelů.
Chcete-li omezit skupiny, vyberte možnost Povolit skupiny a DenyGroups jsou užitečné. Uvedené možnosti povolí nebo zakážou uživatelům, jejichž primární skupina nebo doplňková skupina odpovídá jednomu ze vzorů skupiny.
Příklad
1. Chcete-li umožnit připojením SSH odkudkoli přístup k účtům Mary a Jerry, ale žádným jiným účtům::
# vi /etc/ssh/sshd_config AllowUsers mary jerry
2. Chcete-li povolit připojení SSH z s01.geeklab.com k účtu john, ale žádná další příchozí připojení SSH:
AllowUsers [email protected]
3. Odepřít připojení SSH odkudkoli všem uživatelům „finance“:
DenyGroups finance
Zobrazení neúspěšných pokusů o přihlášení
Záznamy o přihlášení můžete kdykoli zkontrolovat zadáním:
# cat /var/log/secure | grep 'sshd'
Jeho výstup bude vypadat takto:
May 3 13:57:24 centos7 sshd[2479]: pam_unix(sshd:session): session closed for user root May 3 13:57:28 centos7 sshd[3313]: Accepted password for root from 192.168.1.17 port 51093 ssh2 May 3 13:57:28 centos7 sshd[3313]: pam_unix(sshd:session): session opened for user root by (uid=0)
A pokud si přejete zobrazit seznam neúspěšných pokusů, můžete zkusit následující:
# cat /var/log/secure | grep 'sshd.*Failed'
Přijaté pokusy o přihlášení lze zobrazit pomocí:
# cat /var/log/secure | grep 'sshd.*Accepted'