Como Negar Raiz, Permitir Usuários Específicos na sub-rede interna e Permitir Grupos externos, em SSH / SFTP

2

No Centos 7, Como deve ser nosso sshd_config: Negar raiz e permitir usuários específicos (não no grupo) na sub-rede interna, e permitir grupos externos? A questão é muito específica!

Resultado que desejamos : Conexões externas ssh / sftp para que nossos clientes acessem seus próprios diretórios Home / Root específicos para eles. Mas não quer que os funcionários acessem de fora, apenas da sub-rede interna. Porque os funcionários têm maior acesso às estruturas de pastas.

Estas são as configurações que estamos usando, mas não funcionam nem fazem sentido, pois a documentação não é elaborada o suficiente.

1. Esta configuração deve permitir bob e trev internamente, e permitir sftpgroup. Em vez disso, permite o sftpgroup, mas não permite que outros usuários: (bob trev não estão no grupo)

Match Address 192.168.1.0/24
        AllowUsers bob trev
Match All
AllowGroups sftpgroup
PermitRootLogin no

A documentação diz que esses comandos são processados nesta ordem: DenyUsers, AllowUsers, DenyGroups AllowGroups.

2.Então, se eles são processados nesta ordem, então o abaixo deve funcionar, mas não (não tem acesso), então qual é o ponto do processamento ordenado, se o último comando não ultrapassar o anterior. Não deve negar tudo e, em seguida, permitir que usuários específicos. mas isso não acontece. Eu sinto que ou isso é buggy ou a documentação está incompleta.:

DenyUsers *
Match Address 192.168.1.0/24
        AllowUsers bob trev
Match All
PermitRootLogin no

Os trabalhos do Comando de endereço de correspondência foram testados.

    
por NZ Dev 16.06.2017 / 06:17

1 resposta

1

Estas são as edições de configuração do sshd_config que entregam o resultado desejado na questão. Permite Usuários Específicos Internamente, Permite Grupo Específico Externamente, mas nega grupos internamente e usuários específicos externamente:

Match Address 192.168.1.0/24
        AllowUsers bob trev
Match Address *,!192.168.1.0/24
        AllowGroups sftpgroup
Match All
PermitRootLogin no
    
por 16.06.2017 / 06:46