👥 Как настроить SSH для ограничения пользователей / групп директивами allow и deny — Information Security Squad
👥 Как настроить SSH для ограничения пользователей / групп директивами allow и deny

Вопрос: Как мы можем ограничить доступ пользователей / групп к системе, используя ssh?

SSH использует определенные файлы для конфигурации для достижения этих различных ограничений.

Входящие ssh-сессии (в хост) обрабатываются sshd (демон ssh).

Этот процесс имеет свой собственный файл конфигурации, /etc/ssh/sshd_config.

Применяемые параметры в файле /etc/ssh/sshd_config: AllowGroups, AllowUsers, DenyGroups и DenyUsers.

Если эти параметры установлены, это повлияет на всех пользователей со всех хостов.

Для ограничения групп полезны опции AllowGroups и DenyGroups.

Указанные опции позволят или запретят пользователям, чья основная группа или дополнительная группа соответствует одному из шаблонов группы.

Примеры

1. Разрешить SSH-соединениям из любого места доступ учетным записям mary и jerry, но никаких других учетных записей:

# vi /etc/ssh/sshd_config
AllowUsers mary jerry

2. Чтобы разрешить SSH-соединения с lab.itsecforu.ru с учетной записью john, но без других входящих SSH-соединений:

AllowUsers john@lab.itsecforu.ru
3. Запретить SSH-соединение из любого места всем пользователям «finance»:
DenyGroups finance

Просмотр неудачных попыток входа

Вы всегда можете просмотреть записи входа в систему в любое время, набрав:

# cat /var/log/secure | grep 'sshd'
Вывод команды будет выглядеть так:
May  3 13:57:24 centos7 sshd[2479]: pam_unix(sshd:session): session closed for user root
May  3 13:57:28 centos7 sshd[3313]: Accepted password for root from 192.168.1.17 port 51093 ssh2
May  3 13:57:28 centos7 sshd[3313]: pam_unix(sshd:session): session opened for user root by (uid=0)

И, если вы хотите просмотреть список неудачных попыток, вы можете попробовать следующее:

# cat /var/log/secure | grep 'sshd.*Failed'
Удачные попытки входа в систему можно просмотреть с помощью:
# cat /var/log/secure | grep 'sshd.*Accepted'

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *