Concedendo acesso SSH a um usuário
Use as seguintes etapas para conceder acesso SSH a um ou mais usuários. Estas etapas demonstram como configurar esse arquivo
-
Localize o arquivo OpenSSH a seguir:
/etc/ssh/sshd_config
-
Faça backup desse arquivo para que possa ser revertido, se necessário.
cp /etc/ssh/sshd_config{,.'date +%s'}
-
Edite o arquivo usando as palavras-chave do OpenSSH.
Palavras-chave do OpenSSH
Consulte as informações a seguir sobre palavras-chave OpenSSH .
AllowGroups
Após essa palavra-chave, inclua uma lista de padrões de nome de grupo. Separe os padrões com espaços. Sevocê especificar Login, será permitido apenas para usuários cujo grupo primário ougrupo complementar corresponde a um
dos padrões. É possível usar "*" and "?"
como curingas nos padrões. Apenas nomes de grupo são válidos; um ID do grupo numérico não é reconhecido. Porpadrão, Login é permitido para todos os
grupos.
AllowUsers
Após essa palavra-chave, inclua uma lista de padrões de nome do usuário.. Separe os padrões com espaços. Se você especificar Login, ele será permitido apenas para nomes de usuários que correspondam a um dos padrões É possível
usar "*" and "?"
como curingas nos padrões. Apenas nomes de usuário são válidos; um ID de usuário numérico não é reconhecido. Por padrão,Login é permitido para todos os usuários. Se o padrão
assume o formato USER@HOST, então USER e HOST são verificadosseparadamente, restringindo logins para usuários específicos de hosts específicos.
DenyGroups
Após essa palavra-chave, inclua uma lista de padrões de nome de grupo. Separe os padrões com espaços. Sevocê especificar Login, será desaprovado para usuários cujo grupo primário ougrupo complementar corresponde a um dos padrões.
É possível usar "*" and "?"
como curingas nos padrões. Apenas nomes de grupo são válidos; um ID do grupo numérico não é reconhecido. Porpadrão, Login é permitido para todos os grupos.
DenyUsers
Após essa palavra-chave, inclua uma lista de padrões de nome do usuário.. Separe os padrões com espaços. Se você especificar Login, ele será desaprovado para nomes de usuário que correspondem a um dos padrões.. É possível
usar "*" and "?"
como curingas nos padrões. Apenas nomes de usuário são válidos; um ID de usuário numérico não é reconhecido. Por padrão,Login é permitido para todos os usuários. Se o padrão
assume o formato USER@HOST, então USER e HOST são verificadosseparadamente, restringindo logins para usuários específicos de hosts específicos.
Exemplo:
No exemplo a seguir, apenas dois usuários específicos, admin
e user1
, têm permissão para efetuar login no servidor
É possível usar um método similar para negar grupos usando as palavras-chave DenyGroups
e DenyUsers
.
AllowUsers admin user1
Para se preparar para futura expansão de usuários, é possível criar um Grupo no servidor que possa efetuar login no servidor. É possível incluir usuários individuais conforme necessário (substitua*username
* pelo usuário real):
-
No shell, inclua um grupo de usuários, como sshusers:
groupadd –r sshusers
-
No shell, inclua usuários no grupo:
usermod –a –G sshusers admin
usermod -a -G sshusers user1
-
No arquivo sshd_config, dê acesso ao grupo sshusers:
AllowGroups sshusers
-
Verifique se sshd lê a nova configuração sem quebra:
/usr/sbin/sshd –t
echo $?
Se você recebe
0
após o comandoecho $?
, a novaconfiguração está correta.Também é possível obter mensagens de erro semelhantes aos exemplos a seguir:
sshd_config: line 112: Bad configuration option: allowuser
sshd_config: terminating, 1 bad configuration options
-
Depois de corrigir todos os erros e ter uma configuração correta, reinicie o sshd. O comando a seguir é um comando de exemplo em um sistema compatível com sysv:
/etc/init.d/sshd restart
Certifique-se de que você cria uma nova sessão SSH sem desconectar a sessão existente. Verifique se épossível executar quaisquer ações com os usuários que você incluiu.