No Centos 7,
Como deve ser nosso sshd_config:
Negar raiz e permitir usuários específicos (não no grupo) na sub-rede interna, e permitir grupos externos?
A questão é muito específica!
Resultado que desejamos : Conexões externas ssh / sftp para que nossos clientes acessem seus próprios diretórios Home / Root específicos para eles.
Mas não quer que os funcionários acessem de fora, apenas da sub-rede interna. Porque os funcionários têm maior acesso às estruturas de pastas.
Estas são as configurações que estamos usando, mas não funcionam nem fazem sentido, pois a documentação não é elaborada o suficiente.
1. Esta configuração deve permitir bob e trev internamente, e permitir sftpgroup.
Em vez disso, permite o sftpgroup, mas não permite que outros usuários:
(bob trev não estão no grupo)
Match Address 192.168.1.0/24
AllowUsers bob trev
Match All
AllowGroups sftpgroup
PermitRootLogin no
A documentação diz que esses comandos são processados nesta ordem: DenyUsers, AllowUsers, DenyGroups AllowGroups.
2.Então, se eles são processados nesta ordem, então o abaixo deve funcionar, mas não (não tem acesso), então qual é o ponto do processamento ordenado, se o último comando não ultrapassar o anterior. Não deve negar tudo e, em seguida, permitir que usuários específicos. mas isso não acontece. Eu sinto que ou isso é buggy ou a documentação está incompleta.:
DenyUsers *
Match Address 192.168.1.0/24
AllowUsers bob trev
Match All
PermitRootLogin no
Os trabalhos do Comando de endereço de correspondência foram testados.