Håndtering av SSH-brukere
Kapittel 3
Standard oppførsel
Som standard kan alle brukerkontoer på systemet logge inn via SSH, så lenge de har gyldige brukernavn og passord (eller nøkkel). Dette kan imidlertid begrenses ved å endre innstillinger i:
/etc/ssh/sshd_config
Begrense tilgang med brukere og grupper
I sshd_config kan du spesifisere hvem som skal ha lov (eller ikke lov) til å logge inn via SSH.
Eksempler:
Tillat kun bestemte brukere:
AllowUsers john lisa josh
Blokker bestemte brukere:
DenyUsers devon nick
Tillat bestemte grupper:
AllowGroups admins developers
Blokker bestemte grupper:
DenyGroups sales marketing
Merk
Første regel som matcher en bruker blir gjeldende.
Eksempel:
Hvis både AllowUsers john og DenyUsers john finnes, vil AllowUsers john overstyre og john får fortsatt tilgang.
Dette betyr at rekkefølgen på reglene i filen er viktig.
Bruk av Match-regler
Match-seksjoner lar deg angi betingede regler for bestemte brukere, IP-adresser eller grupper. Dette er nyttig for å gi spesialtilgang basert på hvem som logger inn, eller hvorfra.
Eksempler:
Tillat root-innlogging med passord fra én spesifikk IP-adresse:
Match Address 154.54.123.46
PermitRootLogin yes
PasswordAuthentication yes
Tillat kun nøkkelbasert innlogging for bestemte brukere fra alle adresser:
Match User alice,bob Address *
PasswordAuthentication no
PubkeyAuthentication yes
(Husk tab eller mellomrom foran innstillingene inne i en Match-blokk.)
Aktivere endringer
Etter at du har oppdatert konfigurasjonen, må du starte SSH-tjenesten på nytt for at endringene skal tre i kraft:
sudo systemctl restart sshd
Høydepunkt – viktige kommandoer
Åpne konfigurasjonsfilen:
sudo nano /etc/ssh/sshd_config
Tillat bestemte brukere eller grupper:
AllowUsers john lisa
AllowGroups admins
Blokker bestemte brukere eller grupper:
DenyUsers testuser
DenyGroups tempstaff
Eksempel på Match-regel:
Match Address 192.168.1.100
PermitRootLogin yes
PasswordAuthentication yes
Restart SSH etter endringer:
sudo systemctl restart sshd
Se manual for detaljer:
man sshd_config
