Intereting Posts
Как определить причину перезагрузки устройства SCSI? Могу ли я извлечь полную командную строку из файла данных поверх 1.23? Почему суперпользователь отключен в iOS и Android systemctl не может точно сообщить о статусе демонов, если они были запущены с помощью механизма, отличного от systemctl Как узнать общую память между двумя процессами? Что означает метки =>, ==>, ===>, ====>, -, – и определенное количество пробелов после них в выводе команды make install? Cron работает, но crontab -l говорит, что нет рабочих мест Создать ярлык запуска Несколько liveCD на одном USB-накопителе Виртуализация виртуального сервера с низким уровнем конца Linux sloppy mount Невозможно изменить группу файлов в точке монтирования копировать файлы из родительского местоположения, когда я внутри символьно связанной папки Как я могу передать успех (или отказ) команды переменной? Как определить аналогичную функцию bash сразу

Разрешающая способность sshd_config не влияет

Я пытаюсь обеспечить новый сервер для приложения для клиентов. То, что я пытаюсь достичь, – заблокировать доступ ssh к пользователям в определенной группе.

Я создал группу «удаленный» и новый пользователь для этой группы, называемой remoteuser; если я кота / etc / group, я вижу

remote:x:823:remoteuser 

в /etc/ssh/sshd_config Я добавил параметр

 AllowGroups remote 

с man-страницы sshd_config , это должно ограничивать вход в систему только для пользователей в группе «remote».

После перезагрузки sshd я попробую войти в систему с другим пользователем, и мне будет предложено ввести пароль. Может кто-то указать, где я ошибаюсь?

Я использую Ubuntu 16.10

Вам будет предложено ввести пароль, но даже если вы предоставите правильный пароль, вам не будет предоставлен доступ. Вот как работает этот параметр.

Это еще один уровень секретности, что сервер не пропускает список пользователей, имеющих действительную учетную запись. Если это не будет сделано, злоумышленник может проверять сервер для действительных пользователей за считанные минуты и атаковать только существующих пользователей, которые он может ожидать иметь слабый пароль или что-то еще догадываться.

Я рискну предположить, что «AllowGroups» запрещает пользователям из других групп регистрироваться, а не видеть приглашение для входа в систему.

Это разумнее с точки зрения безопасности, в противном случае злоумышленник мог бы использовать для существования приглашения для входа в систему анализа грубой силы, принадлежащего к группе.

Вы можете вообще заблокировать логины паролей с помощью «PasswordAuthentication no»