他のユーザーが新しいSSHセッションを作成するのを防ぐ方法は?

他のユーザーが新しいSSHセッションを作成するのを防ぐ方法は?

Linuxテストサーバー(Debian 11)で作業するときはroot権限があり、作業中に他のユーザーがサーバーへの新しいセッションを開くのを防ぎたいと思います。

可能ですか?

答え1

rootとしてログインすると/var/run/nologin(歴史的に/etc/nologin)、root以外のユーザーがログインするのを防ぐファイルを作成できます。ルートで作業を終えたら、ファイルを削除して他のユーザーのアクセスを復元できます。

マニュアルページをご覧くださいnologin(5):

名前

nologin - 権限のないユーザーがシステムにログインするのを防ぎます。

説明する

ファイルが/etc/nologin存在し、読み取り可能な場合login(1)ルートアクセスのみが許可されます。他のユーザーはこのファイルの内容を表示でき、そのユーザーのログインは拒否されます。

少なくとも一部のシステムでは、これはpam_nologinPAMモジュールを介して制御されます。 Debian では、モジュールはaccount以下を含む最初のエントリです。loginsshdcommon_account

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

答え2

はい、可能です。man sshd_config認証できる人を制限する方法については、リソースを参照してください。

AllowGroups rootこのディレクティブを手動でsshd設定に追加してから、sshdサービスを再ロードできます。

関連情報