Wenn ein Angreifer Root-Login auf Ihrem System erlangt, kann er mehr Schaden anrichten, als wenn er sich einen normalen Benutzer-Login verschafft. Wir haben aus unserem vorherigen Artikel gesehen – So deaktivieren Sie die Remote-Anmeldung für Root-Benutzer auf einem Linux-Computer. Nun werden wir schließlich sehen, ob wir etwa 10 Benutzerkonten auf einem Linux-Server erstellt haben (für verschiedene Gruppenaktivitäten wie HR, Finanzen usw.), wir müssen die Remote-Anmeldung für alle diese 10 Konten nicht zulassen. In diesem Tutorial werden wir sehen, wie Sie bestimmten Benutzerkonten erlauben oder verweigern, sich remote beim Linux-Server anzumelden.
SSH bietet 4 folgende Anweisungen, um den Zugriff auf den Server zuzulassen oder zu verweigern. Standardmäßig erlaubt es alle Gruppen und Benutzer.
- Gruppen zulassen
- Benutzer zulassen
- Gruppen verweigern
- Benutzer verweigern
Hinweis:Bevor Sie eine Konfiguration auf Systemebene ändern, erstellen Sie bitte die erforderliche Sicherung.
Um zwei bestimmten Benutzern namens Amy und Henry zu erlauben, sich remote beim Server anzumelden, fügen Sie die folgenden Zeilen in die Datei /etc/ssh/sshd_config mit Ihrem bevorzugten Editor ein (VIM ist mein bevorzugter Editor).
AllowUsers admin amy
Um die Kontrolle für die Zukunft zu erleichtern, können Sie mehrere Benutzer zu einer einzelnen Gruppe hinzufügen und den Benutzer basierend auf der Gruppe, zu der er gehört, zulassen. Zum Beispiel:Stellen Sie sich vor, Henry und Amy arbeiten in der Finanzabteilung zusammen. Erstellen Sie einen gemeinsamen Gruppennamen namens Finanzen, wie unten gezeigt:
groupadd –r finance
Erstellen Sie nun die beiden Benutzer henry und amy, die zur Finanzgruppe gehören, wie unten gezeigt:
useradd -G finance henry
useradd -G finance amy
Um Benutzer zuzulassen, die zu einer bestimmten Gruppe namens Finanzen gehören Um sich remote beim Server anzumelden, fügen Sie die folgende Zeile in die Datei /etc/ssh/sshd_config ein.
AllowGroups finance
Damit brauchen wir keine AllowUsers zu verwenden .
Die anderen alternativen Direktiven sind DenyGroups und DenyUsers die genau das Gegenteil der oben genannten AllowGroups leisten und Benutzer zulassen bzw..
Um die ordnungsgemäße Aktualisierung der Konfigurationsdatei zu überprüfen, führen Sie die folgenden Befehle aus, ohne den sshd-Dienst neu zu starten:
[root@catest ~]# /usr/sbin/sshd -t [root@catest ~]# echo $? 0 [root@catest ~]#
Wenn das Echo $? Befehl gibt 0 aus dann ist die Überprüfung erfolgreich, andernfalls sehen Sie einen Fehler, der angibt, was die fehlerhaften Daten sind:
[root@catest ~]# /usr/sbin/sshd -t /etc/ssh/sshd_config: line 116: Bad configuration option: AllowUser /etc/ssh/sshd_config: terminating, 1 bad configuration options [root@catest ~]#
Vergessen Sie nach der Überprüfung nicht, sshd wie unten gezeigt neu zu starten:
[root@catest ~]# /etc/init.d/sshd restart