匹配“sshd_config”中的多个用户

Question 1

我自己没有这样做，我只能按照手册上的内容进行操作：

从sshd_config手册中：

匹配模式可以由单个条目或逗号分隔的列表组成，并且可以使用的模式部分中描述的通配符和否定运算符ssh_config(5)。

这意味着你应该能够说

Match User bob,joe,phil
  PasswordAuthentication yes
  AllowTCPForwarding yes
  ForceCommand /bin/echo 'We talked about this guys. No SSH for you!'

请注意，“逗号分隔”意味着名称之间不应插入额外的空格。

另请参阅信息安全论坛上的此答案：在 SSH 中创建用户特定的身份验证方法。

Answer

我自己没有这样做，我只能按照手册上的内容进行操作：

从sshd_config手册中：

匹配模式可以由单个条目或逗号分隔的列表组成，并且可以使用的模式部分中描述的通配符和否定运算符ssh_config(5)。

这意味着你应该能够说

Match User bob,joe,phil
  PasswordAuthentication yes
  AllowTCPForwarding yes
  ForceCommand /bin/echo 'We talked about this guys. No SSH for you!'

请注意，“逗号分隔”意味着名称之间不应插入额外的空格。

另请参阅信息安全论坛上的此答案：在 SSH 中创建用户特定的身份验证方法。

Question 2

对组而不是用户使用 Match 指令。然后将用户添加到该组中

Match Group users_with_no_ssh
    PasswordAuthentication yes
    AllowTCPForwarding yes
    ForceCommand /bin/echo 'We talked about this guys. No SSH for you!'

Answer

对组而不是用户使用 Match 指令。然后将用户添加到该组中

Match Group users_with_no_ssh
    PasswordAuthentication yes
    AllowTCPForwarding yes
    ForceCommand /bin/echo 'We talked about this guys. No SSH for you!'

Question 3

我不确定 ForceCommand 能否与 SFTP 很好地配合使用。另外，也许最好在日志中看到“DenyUsers”一词。无论如何，我使用这个（好吧，也许使用 Group 会更好）：

sshd_配置

# support, ansible & backup only from specific IP                                                                    
Match User ansible,backup,support Address *,!176.x.x.x                                                          
      DenyUsers ansible,backup,support

Match User backup
        AllowTcpForwarding yes
        AllowAgentForwarding yes
        PermitListen 127.0.0.1:2223
        AcceptEnv RESTIC_REPOSITORY RESTIC_PASSWORD

测试配置

# sshd -T -C addr=176.x.x.x,user=backup | egrep '^((deny|allow)users|permitlisten|acceptenv)'
denyusers root
acceptenv RESTIC_REPOSITORY
acceptenv RESTIC_PASSWORD
permitlisten 127.0.0.1:2223

# sshd -T -C addr=8.8.4.4,user=backup | egrep '^((deny|allow)users|permitlisten|acceptenv)' 
denyusers ansible,backup,support
acceptenv RESTIC_REPOSITORY
acceptenv RESTIC_PASSWORD
permitlisten 127.0.0.1:2223

真实世界测试

Jan 29 16:50:12 mx1 sshd[71309]: Connection from 199.x.x.x port 21042 on 199.x.x.x port 2222 rdomain "0"   
Jan 29 16:50:13 mx1 sshd[71309]: User support from 199.x.x.x not allowed because listed in DenyUsers
Jan 29 16:50:13 mx1 sshd[71309]: Connection closed by invalid user support 199.x.x.x port 21042 [preauth]

Answer

我不确定 ForceCommand 能否与 SFTP 很好地配合使用。另外，也许最好在日志中看到“DenyUsers”一词。无论如何，我使用这个（好吧，也许使用 Group 会更好）：

sshd_配置

# support, ansible & backup only from specific IP                                                                    
Match User ansible,backup,support Address *,!176.x.x.x                                                          
      DenyUsers ansible,backup,support

Match User backup
        AllowTcpForwarding yes
        AllowAgentForwarding yes
        PermitListen 127.0.0.1:2223
        AcceptEnv RESTIC_REPOSITORY RESTIC_PASSWORD

测试配置

# sshd -T -C addr=176.x.x.x,user=backup | egrep '^((deny|allow)users|permitlisten|acceptenv)'
denyusers root
acceptenv RESTIC_REPOSITORY
acceptenv RESTIC_PASSWORD
permitlisten 127.0.0.1:2223

# sshd -T -C addr=8.8.4.4,user=backup | egrep '^((deny|allow)users|permitlisten|acceptenv)' 
denyusers ansible,backup,support
acceptenv RESTIC_REPOSITORY
acceptenv RESTIC_PASSWORD
permitlisten 127.0.0.1:2223

真实世界测试

Jan 29 16:50:12 mx1 sshd[71309]: Connection from 199.x.x.x port 21042 on 199.x.x.x port 2222 rdomain "0"   
Jan 29 16:50:13 mx1 sshd[71309]: User support from 199.x.x.x not allowed because listed in DenyUsers
Jan 29 16:50:13 mx1 sshd[71309]: Connection closed by invalid user support 199.x.x.x port 21042 [preauth]

匹配“sshd_config”中的多个用户

答案1

答案2

答案3

相关内容