Usando o sshd_config para limitar o login da raiz?

Question

Usando o sshd_config para limitar o login da raiz?

#1 resposta do (5 votos)
#2 resposta do (0 votos)

2

Usando o Ubuntu 12.04, eu quero usar o sshd_config para limitar as sessões ssh vindas da raiz para um subconjunto fixo de IPs. Eu quero que usuários normais possam usar o ssh de qualquer lugar, mas o root deve ser capaz apenas de ssh de um intervalo de IP (minha sub-rede local), bem como de um IP fora desse intervalo (meu servidor de backup externo).

O acesso raiz via ssh é necessário para minha solução de backup, portanto, usando

PermitRootLogin no

não é uma solução. Ao mesmo tempo, não quero comprometer desnecessariamente meus sistemas, deixando a raiz aberta para todos e para a mãe deles.

Atualmente tenho o seguinte em sshd_config:

AllowUsers *@*
DenyUsers root@*
AllowUsers [email protected].*
AllowUsers [email protected]

em que os números de backup da sub-rede local e externa estão corretos.

Isso não funciona. Alguma dica sobre como fazer isso funcionar e por quê? A documentação do sshd_config não me ajudou a entender como os AllowUsers e DenyUsers interagem.

sshd linux ubuntu

por IceRabbit 31.10.2013 / 17:40

2 respostas

0

Em / etc / ssh / sshd_config, certifique-se de que o seguinte esteja configurado na parte principal da configuração

PermitRootLogin no

E anexe isso no final do arquivo de configuração. Agora root só pode fazer o login a partir de endereços locais.

Match Address 192.168.0.*,127.0.0.1 PermitRootLogin yes

Acho que esse recurso já existe há quase dois lançamentos principais, então ... é surpreendente que ninguém tenha respondido com isso antes.

Você pode fazer outras coisas após a partida, como ativar o encaminhamento de porta, etc.

por 21.02.2014 / 10:38

Tags sshd linux ubuntu

Para fiação doméstica na parede, é necessário um cabo ethernet blindado? A maneira mais fácil de editar assinaturas de e-mail da empresa

score 5 · Accepted Answer

Considere simplesmente usar uma chave SSH para efetuar login como root ( PermitRootLogin without-password ). Cada chave pode ser limitada a endereços de origem específicos usando a opção from="1.2.3.4,8.9.0.0/24,::1" em authorized_keys.

A página de manual, logo abaixo de "AllowUsers", diz

:

The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.

- portanto, se uma entrada de DenyUsers for correspondente, nenhuma outra regra será verificada.