Digamos que você tenha dois grupos em /etc/passwd :
-
ssh_users -
ftp_users
Para permitir que apenas ssh_users faça o login através do SSH, adicione esta linha a /etc/ssh/sshd_config :
AllowGroups ssh_users
De man sshd_config : AllowGroups - Se especificado, o login só é permitido para usuários cujo grupo principal ou lista de grupos suplementares corresponde a um dos padrões.
Para permitir o login do FTP apenas para membros do grupo ftp_users , você pode, por exemplo, usar pam_listfile (consulte man pam_listfile para obter detalhes).
-
Primeiro, escreva o nome do grupo para, por exemplo,
/etc/pam.d/vsftpd-groups.conf~ # echo ftp_users > /etc/pam.d/vsftpd-groups.conf -
Em seguida, adicione
pam_listfileao seu arquivo/etc/pam.d/vsftpd:auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet >> auth required pam_listfile.so item=group sense=allow file=/etc/pam.d/group-access.conf onerr=fail auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet >> account required pam_listfile.so item=group sense=allow file=/etc/pam.d/group-access.conf onerr=fail account required pam_permit.so
Você também deve olhar para a instância do EC2 Security Group e permitir acesso somente a partir de endereços IP conhecidos de seus usuários de SSH ou FTP, se isso for possível.
Isso deve ser feito.