Il y a un groupe Match dans la configuration SSHD:
cat /etc/ssh/sshd_config
...
Match Group FOOGROUP
ForceCommand /bin/customshell
...
Il y a beaucoup d'utilisateurs sur la machine qui sont dans le "FOOGROUP".
Ma question: Comment puis-je exclure un utilisateur donné qui est dans le "FOOGROUP" du "Match Group"?
L' Matchopérateur peut prendre plusieurs arguments, permettant des règles très flexibles. Dans ce cas, vous pouvez faire quelque chose comme ça pour réaliser ce que vous voulez.
Match Group FOOGROUP User !username
ForceCommand /bin/customshell
L' !annule l'argument passé au Usercritère, donc même si l'utilisateur usernameest dans le groupe FOOGROUP, le Matchne réussira pas et usernamene recevra pas le shell personnalisé lors de la connexion.
*,!usernamesoit une approche plus propre. Une autre solution si votre échec est le mélange de ce genreMatchavecChrootDirectory(testé sur OpenSSH 5.3p1 et 7.4p1).Vous devez utiliser plusieurs clauses dans votre entrée de fichier de configuration, mais de manière très spécifique. Il y a un bogue dans certaines configurations qui provoque la syntaxe généralement recommandée et la plus simple ("Match Group FOOGROUP User! Username") pour empêcher tous les autres membres du groupe de ne pas correspondre ou leur permettre d'échapper à leur prison chroot.
Sur Debian Jessie utilisant OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.2d, j'obtiens le résultat que tout le monde dans le groupe ne peut plus se connecter. D'autres signalent des échappatoires. Dans les deux cas, une syntaxe de
semble fonctionner sans effets secondaires. Une sorte de bug dans l'analyseur sans doute.
la source
avec l'option ci-dessous, je peux emprisonner l'utilisateur sftp dans le répertoire spécifié et également l'utilisateur spécifié capable de se connecter via ssh.
Merci.
la source