W konfiguracji SSHD istnieje grupa dopasowania:
cat /etc/ssh/sshd_config
...
Match Group FOOGROUP
ForceCommand /bin/customshell
...
Na komputerze jest wielu użytkowników, którzy są w „FOOGROUP”.
Moje pytanie: Jak mogę wykluczyć danego użytkownika z „FOOGROUP” z „Grupy dopasowania”?
Odpowiedzi:
MatchOperator może trwać wiele argumentów, dzięki czemu bardzo elastyczne zasady. W takim przypadku możesz zrobić coś takiego, aby osiągnąć to, czego chcesz.
Match Group FOOGROUP User !username
ForceCommand /bin/customshell
!Neguje argument przekazany do Userkryterium, więc nawet jeśli użytkownik usernamejest w grupie FOOGROUPThe Matchnie będą skuteczne, a usernamenie będą mieli własnego zbiornika po zalogowaniu się.
*,!usernamejest to bardziej czyste podejście. Jeszcze innym przypadkiem niepowodzenia rozwiązania jest mieszanie tego typu Matchz ChrootDirectory(testowane zarówno na openssh 5.3p1, jak i 7.4p1).
Musisz użyć wielu klauzul we wpisie pliku konfiguracyjnego, ale w bardzo specyficzny sposób. W niektórych konfiguracjach występuje błąd, który powoduje ogólnie zalecaną i najprostszą składnię („nazwa użytkownika FOOGROUP grupy dopasowań! Nazwa użytkownika!”), Która powoduje, że wszyscy inni w grupie nie pasują lub pozwala im uciec z więzienia chroot.
Na Debianie Jessie używającym OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.2d otrzymuję wynik, że wszyscy inni w grupie nie mogą się już połączyć. Inni zgłaszają przerwy w więzieniu. W obu przypadkach składnia
Match Group FOOGROUP User *,!username
wydaje się działać bez skutków ubocznych. Jakiś błąd w parserze bez wątpienia.
z poniższą opcją mogę uwięzić użytkownika sftp w określonym katalogu, a także określonego użytkownika mogącego zalogować się przez ssh.
Match Group groupname User *,!username
Dzięki.