SSH Login nur für bestimme Benutzer erlauben
Wer viele User auf einem UNIX/Linux System hat, aber nur wenigen das Login über SSH erlauben möchte, kann dies in den Einstellungen des SSH Daemons konfigurieren. Dafür muss folgender Eintrag in der /etc/ssh/sshd_config gemacht werden:
[sourcecode language="css"]AllowUsers user1 user2 user3[/sourcecode]
Dies kann natürlich für beliebig viele User geschehen. Alternativ kann man auch gleich ganzen Gruppen erlauben eine SSH Verbindung aufzubauen:
[sourcecode language="css"]AllowGroups trusted1 trusted2[/sourcecode]
Statt einfachen Benutzer- und Gruppennamen können auch reguläre Ausdrücke verwendet werden. Es können aber auch User-Host Kombinationen wie z.B. user1@host1 genutzt werden.
Nachdem die Einstellungen abgespeichert sind, muss der SSH Daemon neugestartet werden, damit die Einstellungen aktiv werden. User, die nicht in der Konfigurationsdatei eingtragen sind, erkennt man durch folgende Meldung im Log:
[sourcecode language="css"]User nontrusted from ********.dip0.t-ipconnect.de not allowed
because not listed in AllowUsers[/sourcecode]
JP Mens
Mit PAM koennen natuerlich auch viele weitere Einschraenkungen eingerichtet werden… Am Flexibelstens finde ich uebrigens public keys in LDAP.
matthias
Ja, mit PAM gehts deutlich detaillierter. Man kann externe Userlisten pflegen, die man dann mittels PAM abfragt. Per LDAP natürlich noch komfortabler, da alles zentralisiert.
Nur habe ich zur Zeit keine LDAP Installation zur Hand und für die nächste Zukunft ist eine solche auch nicht geplant. Aber was nicht ist, kann ja noch werden
Stefan
Ich würde am liebsten auf der Arbeit alles auf LDAP umstellen, damit würde die Pflege von einzelnen Benutzerkonten einiges einfacher…