Estou tentando proteger um novo servidor para um aplicativo de clientes. O que eu estou tentando alcançar é bloquear o acesso ssh aos usuários dentro de um determinado grupo.
Eu criei meu grupo 'remote' e um novo usuário para esse grupo chamado remoteuser; se eu cat / etc / group eu vejo
remote:x:823:remoteuser
em /etc/ssh/sshd_config adicionei a opção
AllowGroups remote
da página sshd_config man, isso deve restringir o login a apenas usuários no grupo 'remoto'.
Depois de reiniciar o sshd, tento fazer o login com outro usuário e sou solicitado a fornecer a senha. Alguém pode apontar onde estou errado?
Estou usando o Ubuntu 16.10
Você é solicitado a fornecer uma senha, mas mesmo que forneça a senha correta, você não terá acesso. É assim que esta opção funciona.
É outro nível de sigilo, que o servidor não está vazando a lista de usuários que possuem conta válida. Se isso não for feito, o invasor poderá verificar o servidor em busca de usuários válidos em questão de minutos e atacar apenas os usuários existentes, que ele pode esperar ter uma senha fraca ou o que mais adivinhar.
Arriscaremos um palpite de que 'AllowGroups' impede que usuários de outros grupos façam login, não vendo o prompt de login.
Isso é mais inteligente do ponto de vista da segurança, caso contrário, um invasor pode usar a existência do prompt de login para analisar a força bruta que pertence ao grupo.
Você pode considerar o bloqueio de logins de senha com 'PasswordAuthentication no'