سؤال كيفية تعطيل تسجيل الدخول SSH مع كلمة مرور لبعض المستخدمين؟


في Linux (Debian Squeeze) أرغب في تعطيل تسجيل الدخول إلى SSH باستخدام كلمة مرور لبعض المستخدمين (المجموعة المحددة أو جميع المستخدمين باستثناء الجذر). لكنني لا أريد تعطيل تسجيل الدخول باستخدام شهادة لهم.

تصحيح: شكرا جزيلا للإجابة المفصلة! لسبب ما هذا لا يعمل على الخادم الخاص بي:

Match User !root
PasswordAuthentication no

... ولكن يمكن استبدالها بسهولة

PasswordAuthentication no
Match User root
PasswordAuthentication yes

146
2018-06-30 14:31


الأصل


ربما بسبب المسافة البادئة الخاصة بك؟ - nil
تجدر الإشارة إلى أن هذه الخطوط في ظل تطابق يجب أن تكون في نهاية الملف - zidarsk8
الجذر أيضا لا يعمل بالنسبة لي. النهج الثاني فعل الخدعة. - natenho
رأيت حالات فيها Match User "!root,*" قام بهذه المهمة. - Roman Hocke


الأجوبة:


محاولة Match في sshd_config:

Match User user1,user2,user3,user4
    PasswordAuthentication no

أو حسب المجموعة:

Match Group users
    PasswordAuthentication no

أو ، كما ذكر في التعليق ، عن طريق النفي:

Match User !root
    PasswordAuthentication no

لاحظ أن المطابقة فعالة "إلى جانب سطر مطابقة آخر أو نهاية الملف." (المسافة البادئة ليست مهمة)


157
2018-06-30 16:13



تفضل Match user !root لهذه الحالة - 84104
رائع ، لم أكن أعرف بنية الجملة المطابقة. أحد الاقتراحات التي سأقدمها ، على الرغم من ذلك ، إذا كان هذا خادمًا عامًا ، فلن أسمح بجذر تسجيل الدخول عبر SSH على الإطلاق. ربما لا صفقة كبيرة إذا كان داخلي رغم ذلك .. - Safado
SpacemanSpiff هذا ما أ) كلمات مرور قوية وب) denyhosts / fail2ban هي ل. - ceejayoz
@ deed02392 يمكنك أن تضع في اعتبارك مفتاحًا لتكون كلمة مرور قوية حقًا إذا أردت. - ceejayoz
إنه أقوى بكثير ليس في نفس ملعب الكرة ، تلك كانت وجهة نظري. يجب تعطيل مصادقة كلمة المرور للجذر أيضًا ، ولا يُسمح باستخدام المفاتيح إلا لتسجيل الدخول. - deed02392


Match في sshd_config يعمل جيدا. يجب عليك استخدامها Match all لإنهاء كتلة المطابقة إذا كنت تستخدم openssh 6.5p1 أو أعلى. مثال:

PasswordAuthentication no
Match User root
PasswordAuthentication yes
Match all

12
2017-11-27 22:13





هناك بعض الطرق التي يمكنك القيام بها - أولاً ، يمكنك تشغيل خادم sshd ثاني على منفذ مختلف بتكوينات مختلفة - وهو نوع من الاختراق ، ولكن مع بعض عمل chroot ، يجب أن يعمل على ما يرام.

يمكنك أيضًا السماح بمصادقة كلمة المرور ، ولكن يمكنك قفل كلمات المرور للجميع باستثناء مستخدم واحد. سيظل المستخدمون الذين لديهم كلمات مرور مؤمّنة قادرة على المصادقة مع المفاتيح العامة.


1
2018-06-30 15:42





يمكنك ببساطة الذهاب إلى ملف / etc / ssh / sshd_config وإضافة خط للسماح -> AllowUsers user1 لإنكار ---> DenyUsers user2

يمكننا السماح / رفض تسجيل الدخول لمجموعة معينة من المضيفين باستخدام ملفات hosts.allow أو hosts.deny الموجودة في المجلد / etc


-1
2018-03-04 06:10