У конфігурації SSHD є група відповідності:
cat /etc/ssh/sshd_config
...
Match Group FOOGROUP
ForceCommand /bin/customshell
...
На машині є багато користувачів, які знаходяться у «ФОГРУПІ».
Моє запитання: Як я можу виключити даного користувача, який перебуває у "FOOGROUP", із "Маткової групи"?
Відповіді:
MatchОператор може приймати кілька аргументів, що дозволяє дуже гнучкі правила. У цьому випадку ви можете зробити щось подібне, щоб досягти того, чого ви хочете.
Match Group FOOGROUP User !username
ForceCommand /bin/customshell
!Заперечує аргумент , який передається в Userкритерій, так що навіть якщо користувач usernameзнаходиться в групі FOOGROUP, то Matchне буде успішним, і usernameне буде виданий новий настроюється оболонку при вході в систему .
*,!username, це більш чистий підхід. Ще один випадок , ваше рішення не в змозі перемішує такого роду Matchз ChrootDirectory(протестовано на обох OpenSSH 5.3p1 і 7.4p1).
Вам потрібно використовувати декілька пропозицій у вашому конфігураційному файлі, але дуже специфічним чином. У деяких налаштуваннях є помилка, яка спричиняє загально рекомендований і найпростіший синтаксис ("Матч групи користувача FOOGROUP! Ім'я користувача"), який може спричинити збіг усіх інших членів групи або дозволяє їм уникнути своєї в'язниці.
У Debian Jessie за допомогою OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.2d я отримую результат, що всі інші учасники групи більше не можуть підключатися. Інші повідомляють про перерви в'язниці. В обох випадках синтаксис
Match Group FOOGROUP User *,!username
здається, працює без побічних ефектів. Якась помилка в аналізаторі без сумніву.
З наведеним нижче варіантом я можу заарештувати sftp користувача у вказаному каталозі, а також вказаного користувача, здатного увійти через ssh.
Match Group groupname User *,!username
Дякую.