Saya telah menginstal Google-Authenticator pada mesin CentOS 6.5 dan mengonfigurasi pengguna tertentu untuk menyediakan OTP.
Saat mengedit /etc/ssh/sshd_config
saya melihat arahan " PermitRootLogin
" yang dikomentari secara default.
Saya ingin mengatur "PermitRootLogin no
" tetapi masih bisa ssh ke mesin sebagai root hanya dari jaringan lokal.
Apakah itu mungkin?
sudo - su
masuk root, atau melakukan apa pun yang tidak diperlukan oleh pengguna mereka (di sudoers, Anda menggunakan daftar putih untuk perintah). Jika Anda membutuhkan root, Anda harus secara fisik berada di konsol - yaitu. Root over SSH seharusnya tidak pernah diizinkan ... kunci atau tidak.Jawaban:
Gunakan
Match
parameter konfigurasi di/etc/ssh/sshd_config
:Lihat
man sshd_config
sumber
~root/.ssh/authorized_keys
. Awali kunci denganfrom="192.168.0.0/24 "
.AllowUser root
The
Match address
Metode yang telah disebutkan, tetapi Anda juga dapat membatasi pengguna (atau kelompok) yang diperbolehkan untuk login ke sistem. Misalnya, untuk membatasi login ke penggunaitai
(dari mana saja) danroot
(dari jaringan tertentu), gunakan:Ini mencegah semua pengguna lain (seperti
apache
) masuk melalui SSH.Lihat juga
AllowUsers
kata kunci dalam manual sshd_config (5) .sumber
AllowGroups
dan menambahkan semua pengguna yang harus bisa masuk menggunakan SSH ke grup tertentu. Kira itu masalah selera, tapi itu sepertinya kurang mengedit sshd_config (yang berarti lebih sedikit risiko mengacaukan dan mengunci semua orang).AllowUsers itai [email protected].*
danAllowGroups ssh-users
dan Anda tidak akan secara tidak sengaja melakukan penguncian jika magang secara tidak sengaja menghapus grup :)