Digamos que você tenha dois grupos em /etc/passwd
:
-
ssh_users
-
ftp_users
Para permitir que apenas ssh_users
faça o login através do SSH, adicione esta linha a /etc/ssh/sshd_config
:
AllowGroups ssh_users
De man sshd_config
: AllowGroups - Se especificado, o login só é permitido para usuários cujo grupo principal ou lista de grupos suplementares corresponde a um dos padrões.
Para permitir o login do FTP apenas para membros do grupo ftp_users
, você pode, por exemplo, usar pam_listfile
(consulte man pam_listfile
para obter detalhes).
-
Primeiro, escreva o nome do grupo para, por exemplo,
/etc/pam.d/vsftpd-groups.conf
~ # echo ftp_users > /etc/pam.d/vsftpd-groups.conf
-
Em seguida, adicione
pam_listfile
ao seu arquivo/etc/pam.d/vsftpd
:auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet >> auth required pam_listfile.so item=group sense=allow file=/etc/pam.d/group-access.conf onerr=fail auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet >> account required pam_listfile.so item=group sense=allow file=/etc/pam.d/group-access.conf onerr=fail account required pam_permit.so
Você também deve olhar para a instância do EC2 Security Group e permitir acesso somente a partir de endereços IP conhecidos de seus usuários de SSH ou FTP, se isso for possível.
Isso deve ser feito.