用户在 Debian 8 上绕过 DenyUsers

用户在 Debian 8 上绕过 DenyUsers

所以我有一个名为的用户spring,尽管我sshd_configDenyUsers spring,我可以使用 PuTTY 登录该用户。我当然重新启动了 SSH 服务。

非评论行来自/etc/ssh/sshd_config

Port xxxxx
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Match User myotheruser
        PasswordAuthentication no
DenyUsers spring

我需要检查什么?

答案1

将,DenyUsers放在第一个或唯一的之前Match User。或者AllowUsers在第一个指令之前使用该指令Match User以仅允许您想要的用户。

或者使用这两个指令,例如:

AllowUsers somealloweduser
DenyUsers *

允许和拒绝指令的执行方式与防火墙表类似,顺序很重要。以上将允许某些允许的用户并拒绝所有其他用户。如果拒绝是第一个,那么没有人能够连接。

答案2

我怀疑 DenyUsers 指令被视为 Match 子句的一部分,而不是无条件限制。因此,我尝试将其移至“匹配”条目上方,看看是否有帮助。

相关内容