Strona 1 z 1
[Rozw.] Blokowanie dostępu do ssh
: 2007-10-19, 13:37
autor: Kean
Mam paru userów którzy mają dostęp do ftp (do obslugi WWW) więc mają konta w systemie itd. Na tym samym serwerze działa też SSHD. Chciał bym ograniczyć dostęp do SSH tylko dla konkretnych loginów, tych które mam uznam, że są godne zaufania
Jak to zrobić?
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-19, 13:44
autor: dienet
Plik
Ostatnie pole jak sie nie myle: zamien np na /bin/false
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-19, 13:55
autor: miszmaniac
Edytujesz plik sshd_config:
Kod: Zaznacz cały
PermitRootLogin no
AllowUsers user1 user2 user3
Restart SSH i już nic nie musisz więcej robić.
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-19, 13:59
autor: Sad Mephisto
dienet, zazwyczaj ustawia się to na /usr/bin/passwd, jest to wygodniejsze. Wtedy użytkownik od razu po zalogowaniu się ma tylko możliwość zmiany swojego hasła.
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-19, 14:04
autor: dienet
Sad Mephisto, ...ktore tez dziala na ftp. No bardzo sprytne - nie zdawalem sobie z tak oczywistej sprawy. Czlowiek zawsze sie czegos uczy.
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-22, 11:09
autor: Ciuciu
A czy przypadkiem to co wpiszemy w polu shell nie musi być poprawnym shellem? czyli nie musi występować w /etc/shells ?
Z tego co pamiętam kiedyś miałem problemy z ftpem, który nie chciał nawiązać połączenia, przy wpisaniu np /dev/false na pozycji powłoki użytkownika w /etc/passwd
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-22, 11:23
autor: miszmaniac
Tak, bo w proftpd jest opcja, require valid shell, jeśli jest wyłączona to brak powłoki nie ma znaczenia.
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-22, 15:49
autor: Radek_R
miszmaniac pisze:Edytujesz plik sshd_config:
Kod: Zaznacz cały
PermitRootLogin no
AllowUsers user1 user2 user3
Restart SSH i już nic nie musisz więcej robić.
A nie lepiej
Potem wystarczy dodać usera do danej grupy, nie trzeba też restartować daemona. Mniej kłopotu
Re: [Rozw.] Blokowanie dostępu do ssh
: 2007-10-22, 20:52
autor: miszmaniac
Może i lepiej, ja zawsze używałem tak