• Metody autentykacji ssh per user/grupa

    dodany przez Przemysław Sikora

    Od pewnego czasu co raz częściej umożliwiam dostęp do ssh tylko przy użyciu klucza prywatnego. Istnieje do tego przydatna opcja w pliku konfiguracyjnym daemona ssh, mianowicie „PasswordAuthentication”.

    Najczęściej mam tą opcję ustawioną na „no”. Niestety, a właściwie „stety”, pojawił się użytkownik, który miał tylko wrzucać pliki po sftp i to z różnych maszyn/systemów. Okazuje się, że można ustawić domyślną metodę autentykacji oraz specyficzną per użytkownika/grupa. Przykładowo pozwalamy na autoryzację bez klucza – przy pomocy hasła użytkownikowi penelopa

    Match User penelopa
    PasswordAuthentication no

    Pamiętajmy, żeby umieścić powyższy wpis na końcu pliku. Nie ma bowiem możliwości zakończenia/zamknięcia bloku specyficznych ustawień per user/grupa.
    Inną przykładową sytuacją może być domyślne zezwalanie na logowanie bez klucza (po haśle) z wyjątkiem użytkownika root.

    Match User *,!root
    PasswordAuthentication yes

    Jeśli macie bardziej zaawansowane wymagania ustawień autentykacji lub autoryzacji przy użyciu ssh, to dzielcie się nimi śmiało w komentarzach 🙂
    Nie zapomnijcie o restarcie usługi.

    systemctl restart sshd
    

Dodaj komentarz

Warto odwiedzić
Valid XHTML 1.0 Transitional centos.com.pl- mapa strony