ユーザーは Debian 8 で DenyUsers をバイパスします。

ユーザーは Debian 8 で DenyUsers をバイパスします。

だから私はと呼ばれるユーザーがいますspring。と言っても、sshd_configPuTTYDenyUsers springを使用してそのユーザーにログインできます。もちろん、SSHサービスを再起動しました。

コメント以外の行は次のようになります/etc/ssh/sshd_config

Port xxxxx
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Match User myotheruser
        PasswordAuthentication no
DenyUsers spring

何を確認する必要がありますか?

答え1

DenyUsers最初または唯一の前に配置しますMatch User。または、希望するユーザーのみを許可するには、AllowUsers最初のディレクティブの前にこのディレクティブを使用します。Match User

または、次の2つのガイドラインを使用してください。たとえば、次のようになります。

AllowUsers somealloweduser
DenyUsers *

許可および拒否ディレクティブはファイアウォールテーブルと同様に実行され、順序が重要です。上記は許可された特定のユーザーを許可し、他のすべてのユーザーを拒否します。拒否が最初の場合、誰も接続できません。

答え2

DenyUsersディレクティブは、無条件の制限ではなく、Match句の一部として扱われるようです。だから、役に立つかどうかを確認するために、「一致」項目の上に移動してみました。

関連情報