Question :Comment pouvons-nous restreindre l'accès des utilisateurs/groupes à un système à l'aide de ssh ?
SSH utilise des fichiers de configuration spécifiques pour atteindre ces différentes restrictions. Les sessions ssh entrantes (vers l'hôte) sont gérées par sshd (le démon ssh). Ce processus a son propre fichier de configuration, /etc/ssh/sshd_config . Les paramètres du fichier /etc/ssh/sshd_config qui s'appliquent sont AllowGroups , Autoriser les utilisateurs , Refuser les groupes , et DenyUsers . Si ces paramètres sont définis, cela affectera tous les utilisateurs de tous les hôtes.
Pour restreindre les groupes, l'option Autoriser les groupes et DenyGroups sont utiles. Lesdites options autoriseront ou interdiront les utilisateurs dont le groupe principal ou le groupe supplémentaire correspond à l'un des modèles de groupe.
Exemple
1. Pour autoriser les connexions SSH de n'importe où à accéder aux comptes mary et jerry, mais à aucun autre compte : :
# vi /etc/ssh/sshd_config AllowUsers mary jerry
2. Pour autoriser les connexions SSH de s01.geeklab.com au compte john, mais aucune autre connexion SSH entrante :
AllowUsers [email protected]
3. Pour refuser la connexion SSH de n'importe où à tous les utilisateurs de "finance":
DenyGroups finance
Afficher les tentatives de connexion infructueuses
Vous pouvez toujours consulter les enregistrements de connexion à tout moment en tapant :
# cat /var/log/secure | grep 'sshd'
La sortie ressemblera à ceci :
May 3 13:57:24 centos7 sshd[2479]: pam_unix(sshd:session): session closed for user root May 3 13:57:28 centos7 sshd[3313]: Accepted password for root from 192.168.1.17 port 51093 ssh2 May 3 13:57:28 centos7 sshd[3313]: pam_unix(sshd:session): session opened for user root by (uid=0)
Et, si vous souhaitez afficher une liste des tentatives infructueuses, vous pouvez essayer ce qui suit :
# cat /var/log/secure | grep 'sshd.*Failed'
Les tentatives de connexion acceptées peuvent être consultées avec :
# cat /var/log/secure | grep 'sshd.*Accepted'