Strona 1 z 1

[Rozw.] Blokowanie dostępu do ssh

: 2007-10-19, 13:37
autor: Kean
Mam paru userów którzy mają dostęp do ftp (do obslugi WWW) więc mają konta w systemie itd. Na tym samym serwerze działa też SSHD. Chciał bym ograniczyć dostęp do SSH tylko dla konkretnych loginów, tych które mam uznam, że są godne zaufania :)
Jak to zrobić?

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-19, 13:44
autor: dienet
Plik

Kod: Zaznacz cały

/etc/passwd
Ostatnie pole jak sie nie myle: zamien np na /bin/false

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-19, 13:55
autor: miszmaniac
Edytujesz plik sshd_config:

Kod: Zaznacz cały

PermitRootLogin no
AllowUsers user1 user2 user3
Restart SSH i już nic nie musisz więcej robić.

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-19, 13:59
autor: Sad Mephisto
dienet, zazwyczaj ustawia się to na /usr/bin/passwd, jest to wygodniejsze. Wtedy użytkownik od razu po zalogowaniu się ma tylko możliwość zmiany swojego hasła.

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-19, 14:04
autor: dienet
Sad Mephisto, ...ktore tez dziala na ftp. No bardzo sprytne - nie zdawalem sobie z tak oczywistej sprawy. Czlowiek zawsze sie czegos uczy.

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-22, 11:09
autor: Ciuciu
A czy przypadkiem to co wpiszemy w polu shell nie musi być poprawnym shellem? czyli nie musi występować w /etc/shells ?

Z tego co pamiętam kiedyś miałem problemy z ftpem, który nie chciał nawiązać połączenia, przy wpisaniu np /dev/false na pozycji powłoki użytkownika w /etc/passwd

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-22, 11:23
autor: miszmaniac
Tak, bo w proftpd jest opcja, require valid shell, jeśli jest wyłączona to brak powłoki nie ma znaczenia.

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-22, 15:49
autor: Radek_R
miszmaniac pisze:Edytujesz plik sshd_config:

Kod: Zaznacz cały

PermitRootLogin no
AllowUsers user1 user2 user3
Restart SSH i już nic nie musisz więcej robić.
A nie lepiej

Kod: Zaznacz cały

AllowGroups grupa_ssh
Potem wystarczy dodać usera do danej grupy, nie trzeba też restartować daemona. Mniej kłopotu :)

Re: [Rozw.] Blokowanie dostępu do ssh

: 2007-10-22, 20:52
autor: miszmaniac
Może i lepiej, ja zawsze używałem tak :)