我有一个系统,一些用户需要通过常规 SSH 连接到该系统。我将他们命名为“特权用户”。同时该系统应该为“匿名”用户提供一个SFTP服务器(没有任何密码,或任何身份验证方法)。
目前,这是我的sshd_config:
########################################################################
# Common conofigurations for both Privileged Users and Anonymous
########################################################################
PermitRootLogin no
StrictModes yes
PrintMotd yes
AcceptEnv LANG LC_*
banner /etc/banner
AllowUsers fauve libidiloup anonymous
########################################################################
# Desired connfigurations for Privileged Users (who are not Anonymous)
########################################################################
Match User fauve, libidiloup
Protocol 2
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
Port 17129
PasswordAuthentication no
PermitEmptyPasswords no
UsePAM yes
UsePrivilegeSeparation yes
ChallengeResponseAuthentication no
PrintLastLog no
Subsystem sftp internal-sftp
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
X11Forwarding yes
########################################################################
# Configuration for Anonymous
########################################################################
Match User anonymous
PasswordAuthentication yes
PermitEmptyPasswords yes
ChrootDirectory /mnt/bibliotheque
AllowTcpForwarding no
ForceCommand internal-sftp
X11Forwarding no
我只是担心安全问题。 Anonymous 的区块配置够用吗?
特别是对于Protocol, RhostsRSAAuthentication, HostbasedAuthentication, UsePrivilegeSeparation,UsePAM选项。
这种配置是否能将匿名访客与特权用户的功能完全区分开来?
答案1
好吧,我做了一些测试并得到了以下反馈。
首先,这是我得到的最终函数sshd_config:
########################################################################
# Common conofigurations for both Privileged Users and Anonymous
########################################################################
Protocol 2
PermitRootLogin no
StrictModes yes
PrintMotd yes
AcceptEnv LANG LC_*
banner /etc/banner
AllowUsers fauve anonymous
#AllowGroups sshprivileged
# The following directives could NOT be set on a Match block
UsePAM yes
ChallengeResponseAuthentication no
UsePrivilegeSeparation yes
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
PrintLastLog no
Subsystem sftp internal-sftp
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
#########################################################################
## Desired connfigurations for Privileged Users (who are not Anonymous)
#########################################################################
Match User fauve
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no
X11Forwarding yes
#########################################################################
## Configuration for Anonymous
#########################################################################
Match User anonymous
PasswordAuthentication yes
PermitEmptyPasswords yes
ChrootDirectory /mnt/bibliotheque
AllowTcpForwarding no
ForceCommand internal-sftp
X11Forwarding no
主要是两件事在我的第一件事中是不可能的sshd_config。
- “无法在 Match 块上设置以下指令”注释下的块包含不能在 Match 块中的指令。
AllowGroups他们是和之间的冲突AllowUsers。第一个指令覆盖第二个指令。