sshd_config a AllowGroups + AllowUsers

Dan Lukes dan at obluda.cz
Wed Apr 5 00:02:33 CEST 2017

Previous message (by thread): sshd_config a AllowGroups + AllowUsers
Next message (by thread): sshd_config a AllowGroups + AllowUsers
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Miroslav Lachman wrote:
> AllowUsers user at 1.2.3.4, ale narazil jsem, ze to pak povoluje pristup 
> jen tomuhle uzivateli a nemuze se prihlasit nikdo jiny, ani ti, co jsou 
> v AllowGroups

> V man sshd_config(5) se pise
> The allow/deny directives are processed in the following order: 
> DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.

To si nemyslim. Ja to chapal vzdycky takhle:

Nejprve se vezme DenyUsers (existuje-li) a odmitne se prihlaseni 
kazdeho, kdo je tam uveden. Pak se vezme AllowUsers (existuje-li) a 
odmitne se ten, kdo tam neni. Nasledne se analogicky pokracuje s 
DenyGroups a AllowGroups

> Je mozna povolit "kohokoliv ze skupiny" a zaroven "konkretniho uzivatele 
> z IP"?

Myslim, ze ne, alespon ne timhle zpusobem.

Ale pokud mas sshd nakonfigurvane tak aby pouzivalo PAM muzes byt 
uspesny v nem. Je flexibilnejsi. Ale zas tak do hloubky ho nastudovany 
nemam abych si byl jistej, ze to pujde poskladat s existujicimi moduly.

V krajnim pripade si napises PAM modul, do kteryho si zadradujes takovou 
logiku jakou budes chtit. Takovej modul je celkem jednoduchej a na par 
radek.

Dan

Previous message (by thread): sshd_config a AllowGroups + AllowUsers
Next message (by thread): sshd_config a AllowGroups + AllowUsers
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list