sshd_config AllowGroupsは効果がありません。

sshd_config AllowGroupsは効果がありません。

クライアントアプリケーション用の新しいサーバーを入手しようとしています。私が達成したいのは、特定のグループ内のユーザーへのSSHアクセスをロックすることです。

私のグループ「remote」を作成し、「remoteuser」というグループの新しいユーザーを作成しました。 /etc/group を見るとわかります。

remote:x:823:remoteuser

/etc/ssh/sshd_configオプションを追加しました

AllowGroups remote

マニュアルページによると、sshd_configこれは「リモート」グループのユーザーにのみログインを制限する必要があります。

sshdを再起動した後に別のユーザーとしてログインしようとすると、パスワードの入力を求められます。誰かが私が間違っている場所を指摘できますか?

Ubuntu 16.10を使用しています

答え1

パスワードを入力するように求められますが、正しいパスワードを入力してもアクセス権は付与されません。これがこのオプションが機能する方法です。

これは、サーバーが有効なアカウントを持つユーザーのリストを公開しない別のレベルの機密です。これが完了しない場合、攻撃者は数分でサーバー上の有効なユーザーを検索し、パスワードが脆弱であるか、他の推測があると予想される既存のユーザーのみを攻撃できます。

答え2

「AllowGroups」がログインプロンプトを表示するのではなく、他のグループのユーザーがログインするのを防ぐと思います。

セキュリティの観点から見ると、これはより賢明なアプローチです。そうしないと、攻撃者はログインプロンプトの存在を悪用して、グループに属する人を無差別代入分析する可能性があります。

パスワードのログインを防ぐには、「PasswordAuthentication no」を使用することをお勧めします。

関連情報