クライアントアプリケーション用の新しいサーバーを入手しようとしています。私が達成したいのは、特定のグループ内のユーザーへのSSHアクセスをロックすることです。
私のグループ「remote」を作成し、「remoteuser」というグループの新しいユーザーを作成しました。 /etc/group を見るとわかります。
remote:x:823:remoteuser
/etc/ssh/sshd_config
オプションを追加しました
AllowGroups remote
マニュアルページによると、sshd_config
これは「リモート」グループのユーザーにのみログインを制限する必要があります。
sshdを再起動した後に別のユーザーとしてログインしようとすると、パスワードの入力を求められます。誰かが私が間違っている場所を指摘できますか?
Ubuntu 16.10を使用しています
答え1
パスワードを入力するように求められますが、正しいパスワードを入力してもアクセス権は付与されません。これがこのオプションが機能する方法です。
これは、サーバーが有効なアカウントを持つユーザーのリストを公開しない別のレベルの機密です。これが完了しない場合、攻撃者は数分でサーバー上の有効なユーザーを検索し、パスワードが脆弱であるか、他の推測があると予想される既存のユーザーのみを攻撃できます。
答え2
「AllowGroups」がログインプロンプトを表示するのではなく、他のグループのユーザーがログインするのを防ぐと思います。
セキュリティの観点から見ると、これはより賢明なアプローチです。そうしないと、攻撃者はログインプロンプトの存在を悪用して、グループに属する人を無差別代入分析する可能性があります。
パスワードのログインを防ぐには、「PasswordAuthentication no」を使用することをお勧めします。