Có một nhóm Match trong cấu hình SSHD:
cat /etc/ssh/sshd_config
...
Match Group FOOGROUP
ForceCommand /bin/customshell
...
Có nhiều người dùng trên máy nằm trong "FOOGROUP".
Câu hỏi của tôi: Làm cách nào tôi có thể loại trừ một người dùng nhất định trong "FOOGROUP" khỏi "Nhóm đối sánh"?
Câu trả lời:
Các Matchnhà khai thác có thể mất nhiều tranh cãi, cho phép quy tắc rất linh hoạt. Trong trường hợp này, bạn có thể làm một cái gì đó như thế này để đạt được những gì bạn muốn.
Match Group FOOGROUP User !username
ForceCommand /bin/customshell
Việc !phủ định đối số được truyền cho Usertiêu chí, vì vậy ngay cả khi người dùng usernameở trong nhóm FOOGROUP, họ Matchsẽ không thành công và usernamesẽ không được cung cấp trình bao tùy chỉnh khi đăng nhập.
*,!usernamelà một cách tiếp cận sạch sẽ hơn. Tuy nhiên, một trường hợp khác giải pháp của bạn thất bại là trộn loại này Matchvới ChrootDirectory(được thử nghiệm trên cả hai lượt mở 5.3p1 và 7.4p1).
Bạn cần sử dụng nhiều mệnh đề trong mục nhập tệp cấu hình của mình nhưng theo một cách rất cụ thể. Có một lỗi trong một số thiết lập gây ra cú pháp thường được đề xuất và đơn giản nhất ("Tên người dùng FOOGROUP của nhóm phù hợp") khiến cho mọi người khác trong nhóm không khớp hoặc để họ thoát khỏi nhà tù chroot của họ.
Trên Debian Jessie sử dụng OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.2d Tôi nhận được kết quả là mọi người khác trong nhóm không thể kết nối được nữa. Những người khác báo cáo nghỉ tù. Trong cả hai trường hợp, một cú pháp của
Match Group FOOGROUP User *,!username
dường như làm việc mà không có tác dụng phụ. Một số loại lỗi trong trình phân tích cú pháp không có nghi ngờ.
với tùy chọn bên dưới, tôi có thể bỏ tù người dùng sftp trong thư mục được chỉ định và người dùng được chỉ định có thể đăng nhập thông qua ssh.
Match Group groupname User *,!username
Cảm ơn.