IBM Cloud Docs
Concesión de acceso SSH a un usuario

Concesión de acceso SSH a un usuario

Utilice los pasos siguientes para otorgar acceso SSH a uno o más usuarios. Estos pasos muestran cómo configurar este archivo.

  1. Localice el siguiente archivo OpenSSH:

    /etc/ssh/sshd_config

  2. Realice una copia de este archivo para poder volver atrás si es necesario.

    cp /etc/ssh/sshd_config{,.'date +%s'}

  3. Edite el archivo utilizando las palabras clave de OpenSSH.

Palabras clave de OpenSSH

Consulte la siguiente información sobre las palabras clave OpenSSH .

AllowGroups

Después de esta palabra clave, incluya una lista de patrones de nombre de grupo. Separe los patrones mediante espacios. Si especifica Login, sólo está permitido para los usuarios cuya lista de grupos primarios o complementarios coincida con uno de los patrones. Puede utilizar "*" and "?" como comodines en los patrones. Sólo son válidos los nombres de grupo; un ID de grupo numérico no se reconocerá. De forma predeterminada, Login está permitido para todos los grupos.

AllowUsers

Después de esta palabra clave, incluya una lista de patrones de nombre de usuario. Separe los patrones mediante espacios. Si especifica Inicio de sesión, sólo se permite para nombres de usuario que coincidan con uno de los patrones. Puede utilizar "*" and "?" como comodines en los patrones. Sólo son válidos los nombres de usuario; no se reconoce un ID de usuario numérico. De forma predeterminada, Login está permitido para todos los usuarios. Si el patrón adopta el formato USER@HOST, USER y HOST se comprobarán por separado, lo cual restringirá los inicios de sesión a determinados usuarios de hosts determinados.

DenyGroups

Después de esta palabra clave, incluya una lista de patrones de nombre de grupo. Separe los patrones mediante espacios. Si especifica Login, no está permitido para los usuarios cuya lista de grupos primarios o complementarios coincida con uno de los patrones. Puede utilizar "*" and "?" como comodines en los patrones. Sólo son válidos los nombres de grupo; un ID de grupo numérico no se reconocerá. De forma predeterminada, Login está permitido para todos los grupos.

DenyUsers

Después de esta palabra clave, incluya una lista de patrones de nombre de usuario. Separe los patrones mediante espacios. Si especifica Inicio de sesión, no está permitido para los nombres de usuario que coinciden con uno de los patrones. Puede utilizar "*" and "?" como comodines en los patrones. Sólo son válidos los nombres de usuario; no se reconoce un ID de usuario numérico. De forma predeterminada, Login está permitido para todos los usuarios. Si el patrón adopta el formato USER@HOST, USER y HOST se comprobarán por separado, lo cual restringirá los inicios de sesión a determinados usuarios de hosts determinados.

Ejemplo

En el ejemplo siguiente, sólo dos usuarios específicos, admin y user1 , pueden iniciar la sesión en el servidor.

Puede utilizar un método similar para denegar grupos utilizando las palabras clave DenyGroups y DenyUsers.

AllowUsers admin user1

Para prepararse para una futura expansión de usuarios, puede crear un grupo en el servidor que pueda iniciar sesión en el servidor. Puede añadir usuarios individuales según sea necesario (sustituya username por el usuario real):

  1. En el shell, añada un grupo de usuarios, como sshusers:

    groupadd –r sshusers

  2. En el shell, añada usuarios al grupo:

    usermod –a –G sshusers admin

    usermod -a -G sshusers user1

  3. En el archivo sshd_config, otorgue acceso al grupo sshusers:

    AllowGroups sshusers

  4. Verifique que sshd lee la nueva configuración sin interrupciones:

    /usr/sbin/sshd –t

    echo $?

    Si recibe un 0 después del mandato echo $?, la nueva configuración es correcta.

    También puede recibir mensajes de error similares a los siguientes ejemplos:

    sshd_config: line 112: Bad configuration option: allowuser

    sshd_config: terminating, 1 bad configuration options

  5. Después de arreglar todos los errores y cuando tenga una configuración correcta, reinicie sshd. El mandato siguiente es un mandato de ejemplo en un sistema compatible con sysv:

    /etc/init.d/sshd restart

Asegúrese de crear una nueva sesión SSH sin desconectar la sesión existente. Verifique que puede realizar cualquier acción con los usuarios que ha añadido.