No Centos 7, Como deve ser nosso sshd_config: Negar raiz e permitir usuários específicos (não no grupo) na sub-rede interna, e permitir grupos externos? A questão é muito específica!
Resultado que desejamos : Conexões externas ssh / sftp para que nossos clientes acessem seus próprios diretórios Home / Root específicos para eles. Mas não quer que os funcionários acessem de fora, apenas da sub-rede interna. Porque os funcionários têm maior acesso às estruturas de pastas.
Estas são as configurações que estamos usando, mas não funcionam nem fazem sentido, pois a documentação não é elaborada o suficiente.
1. Esta configuração deve permitir bob e trev internamente, e permitir sftpgroup. Em vez disso, permite o sftpgroup, mas não permite que outros usuários: (bob trev não estão no grupo)
Match Address 192.168.1.0/24
AllowUsers bob trev
Match All
AllowGroups sftpgroup
PermitRootLogin no
A documentação diz que esses comandos são processados nesta ordem: DenyUsers, AllowUsers, DenyGroups AllowGroups.
2.Então, se eles são processados nesta ordem, então o abaixo deve funcionar, mas não (não tem acesso), então qual é o ponto do processamento ordenado, se o último comando não ultrapassar o anterior. Não deve negar tudo e, em seguida, permitir que usuários específicos. mas isso não acontece. Eu sinto que ou isso é buggy ou a documentação está incompleta.:
DenyUsers *
Match Address 192.168.1.0/24
AllowUsers bob trev
Match All
PermitRootLogin no
Os trabalhos do Comando de endereço de correspondência foram testados.
Estas são as edições de configuração do sshd_config que entregam o resultado desejado na questão. Permite Usuários Específicos Internamente, Permite Grupo Específico Externamente, mas nega grupos internamente e usuários específicos externamente:
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowGroups sftpgroup
Match All
PermitRootLogin no