Jak wykluczyć z „Match Group” w SSHD?


14

W konfiguracji SSHD istnieje grupa dopasowania:

cat /etc/ssh/sshd_config
...
    Match Group FOOGROUP
    ForceCommand /bin/customshell
...

Na komputerze jest wielu użytkowników, którzy są w „FOOGROUP”.

Moje pytanie: Jak mogę wykluczyć danego użytkownika z „FOOGROUP” z „Grupy dopasowania”?

Odpowiedzi:


15

MatchOperator może trwać wiele argumentów, dzięki czemu bardzo elastyczne zasady. W takim przypadku możesz zrobić coś takiego, aby osiągnąć to, czego chcesz.

Match Group FOOGROUP User !username
  ForceCommand /bin/customshell

!Neguje argument przekazany do Userkryterium, więc nawet jeśli użytkownik usernamejest w grupie FOOGROUPThe Matchnie będą skuteczne, a usernamenie będą mieli własnego zbiornika po zalogowaniu się.


Czy jesteś w 100% pewien, że wyklucza to tylko „! Nazwę użytkownika”? A inni użytkownicy, którzy mogą być w FOOGROUP, pozostaną nietknięci?
evachristine

2
Tak. Przetestowałem to przed opublikowaniem i działa tak, jak opisałem.
D_Bye

1
Wydaje się, że *,!usernamejest to bardziej czyste podejście. Jeszcze innym przypadkiem niepowodzenia rozwiązania jest mieszanie tego typu Matchz ChrootDirectory(testowane zarówno na openssh 5.3p1, jak i 7.4p1).
Ouki

4

Musisz użyć wielu klauzul we wpisie pliku konfiguracyjnego, ale w bardzo specyficzny sposób. W niektórych konfiguracjach występuje błąd, który powoduje ogólnie zalecaną i najprostszą składnię („nazwa użytkownika FOOGROUP grupy dopasowań! Nazwa użytkownika!”), Która powoduje, że wszyscy inni w grupie nie pasują lub pozwala im uciec z więzienia chroot.

Na Debianie Jessie używającym OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.2d otrzymuję wynik, że wszyscy inni w grupie nie mogą się już połączyć. Inni zgłaszają przerwy w więzieniu. W obu przypadkach składnia

Match Group FOOGROUP User *,!username

wydaje się działać bez skutków ubocznych. Jakiś błąd w parserze bez wątpienia.


0

z poniższą opcją mogę uwięzić użytkownika sftp w określonym katalogu, a także określonego użytkownika mogącego zalogować się przez ssh.

Match Group groupname User *,!username

Dzięki.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.