Frage Beschränken Sie den passwortbasierten SSH-Zugriff pro Benutzer, aber erlauben Sie die Schlüsselauthentifizierung


Ist es möglich, den PASSWORD SSH-Zugriff für Benutzer zu deaktivieren, aber die Schlüsselauthentifizierung pro Benutzer zuzulassen? Ich meine, ich habe einen Benutzer, dem ich keinen Passwort-basierten Zugang gewähren möchte, aber ich möchte, dass er nur die Schlüsselauthentifizierung verwendet, um auf den / die Server zuzugreifen. Vielen Dank


19
2018-05-08 15:13


Ursprung


Mögliches Duplikat von Wie kann ich die SSH-Anmeldung mit Passwort für einige Benutzer deaktivieren? - Josip Rodin


Antworten:


Sie können "Match" -Abschnitte hinzufügen, die für bestimmte Benutzer oder Gruppen am Ende von sshd_config passen, wie:

Match user stew
PasswordAuthentication no

oder

Match group dumbusers
PasswordAuthentication no

45
2018-05-08 15:23



Ich würde das Einrücken vermeiden, da es vorschlägt, dass nur die eingerückten Zeilen betroffen sind Match wenn in Wirklichkeit alle Konfigurationen bis zum nächsten betroffen sind Match Richtlinie. Kann für jemanden, der mit der Syntax nicht vertraut ist, verwirrend sein. - Michael Mior
@MichaelMior gibt es einen Weg zu "EndMatch"? - Nick T
@NickT Match funktioniert bis zum nächsten Match oder Host Stichwort. Du könntest es einfach benutzen Match user *. - Michael Mior
@MichaelMior Bedeutet dies, dass wenn Sie verwenden Match user ZaQwEdCxSKönnten Sie eine Reihe von Konfigurationslinien, die von niemandem genutzt werden können, vorübergehend oder dauerhaft rendern? - Tripp Kinetics
Es würde bedeuten, dass alle Konfigurationszeilen danach nur für benannte Benutzer gelten würden ZaQwEdCxS. Wenn Sie jedoch eine andere Frage haben, sollten Sie eine neue Frage stellen. - Michael Mior


Sperren Sie einfach die Passwörter der Benutzer, die Sie nicht mit Passwörtern anmelden möchten:

usermod -L <user>

Dann legen Sie einen gültigen öffentlichen Schlüssel in ihre .ssh/authorized_keys Datei und sie können sich nur mit dem entsprechenden privaten Schlüssel, aber nicht mit einem Passwort anmelden.

Hinweis: Dies wird Sudo brechen, es sei denn, der Benutzer hat NOPASSWD: in ihrem visudo-Eintrag


4
2018-05-08 15:23



Das wird auch Sudo brechen. Vielleicht kein Problem in diesem Fall, aber es ist erwähnenswert. - EEAA
Ja, das ist wahr. Ich hätte es erwähnen sollen. - Oliver
Einige OpenSSH-Setups (z. B. ich denke, Ubuntu 14.04 in der Standardkonfiguration) lassen die Benutzer nicht gesperrt, nicht einmal über authorized_keys - Nils Toedtmann
@ NilsToedtmann können Sie eine Quelle zur Verifizierung angeben? Dies wäre auch in der Antwort sehr wichtig, wenn ja. - Metagrapher


du solltest nachsehen

/etc/ssh/sshd_config

Ich denke, was du suchst ist

PasswordAuthentication yes

ändere es in no und vergiss nicht sshd neu zu starten


-3
2018-05-08 15:19



Ich bin mir dessen bewusst - das ist eine GLOBALE Einstellung - ich möchte eine genauere Option - deshalb habe ich "pro Benutzer" gesagt - ich möchte das nur für einige Benutzer (wird für die Innercluster-Kommunikation zwischen den Servern im Cluster verwendet) - nicht für alle Benutzer - gyre
Oh, richtig, es tut mir leid, dass ich es nicht richtig gelesen habe. Was @stew empfohlen hat, ist ein Weg zu gehen - alexus