Configure o sftp para usar a senha mas ssh para não usar a senha

15

É possível configurar um usuário no Ubuntu com o openssh para que o ssh não use autenticação por senha, mas o sftp faz isso?

Suponho que, se eu alterar /etc/ssh/ssh_config para ter PasswordAuthentication yes , isso possibilita que os usuários usem senhas para efetuar login com ssh e sftp.

Edit: Meu objetivo aqui é permitir que alguns usuários fftp com uma senha em vez de um keyfile. Mas eu não quero que os usuários ssh consigam fazer o login com uma senha, eu quero que eles tenham que usar um arquivo de chaves. Se isso ajuda, eu não preciso que os usuários do sftp consigam fazer o login, eles só precisam fazer o sftp.

    
por dar 25.06.2010 / 22:21

3 respostas

26

Pelo que entendi, você tem (pelo menos para este problema em particular) dois grupos de usuários distintos , um capaz de fazer o login via SSH e obter um shell interativo (vamos chamar o grupo ssh ) e um pode fazer o login via SFTP e obter apenas um shell SFTP (vamos chamar o grupo sftp ).

Agora crie os grupos ssh e sftp em seu sistema com groupadd , coloque os respectivos usuários nos grupos ( gpasswd -a $USERNAME $GROUPNAME ) e anexe as seguintes linhas no final ( isso é importante! ) do seu sshd_config localizado em /etc/ssh/sshd_config :

Match Group sftp
  PasswordAuthentication yes
  # Further directives for users in the "sftp" group

Match Group ssh
  PasswordAuthentication no
  # Further directives for users in the "ssh" group

Leia sobre a diretiva Match em sshd_config (5) e sobre os padrões permitidos em ssh_config (5) .

Você também terá que reiniciar o processo ssh para que isso entre em vigor:

sudo /etc/init.d/ssh restart

    
por 26.06.2010 / 10:28
0

Não, e não vejo como isso melhoraria a segurança, então qual seria o objetivo?

authorized_keys pode permitir comandos diferentes para chaves diferentes, se é isso que você é depois. Caso contrário, você tem a opção de criar várias contas e usar o acls ou o sudo.

    
por 26.06.2010 / 01:07
0

Tomando uma punhalada no escuro aqui, mas você pode achar esse tópico interessante.

É justo encarcerar meus usuários do SFTP para seu diretório inicial?

    
por 26.06.2010 / 01:27

Tags