196 votes

Stepan avatar

Comment désactiver la connexion SSH avec mot de passe pour certains utilisateurs ?

Demandé el 30 de Juin, 2011
Quand la question a-t-elle été
195215 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Sous Linux (Debian Squeeze), je souhaiterais désactiver la connexion SSH par mot de passe pour certains utilisateurs (groupe sélectionné ou tous les utilisateurs sauf root). Mais je ne veux pas désactiver la connexion par certificat pour eux.

éditer: merci beaucoup pour la réponse détaillée! Pour une raison quelconque, cela ne fonctionne pas sur mon serveur:

Match User !root
PasswordAuthentication no

... mais peut être facilement remplacé par

PasswordAuthentication no
Match User root
PasswordAuthentication yes
Demandé el 30 de Juin, 2011 par Stepan

0 votes

Avatar de prosepraise

Peut-être est-ce à cause de votre indentation ?

Commenté el 30 de Janvier, 2013 par prosepraise

8 votes

Avatar de user118040

Il est à noter que ces lignes sous le match doivent être à la fin du fichier

Commenté el 25 de Décembre, 2013 par user118040

2 votes

Avatar de BadAss

! root ne fonctionne pas non plus pour moi. La deuxième approche a fait l'affaire.

Commenté el 5 de Juin, 2015 par BadAss
Afficher 2 autres commentaires

Réponses

Trop de publicités?

214voto

Cakemox avatar
Cakemox Points 23637

Essayez Match dans sshd_config:

Match User user1,user2,user3,user4
    PasswordAuthentication no

Ou par groupe:

Match Group users
    PasswordAuthentication no

Ou, comme mentionné dans le commentaire, par négation:

Match User !root
    PasswordAuthentication no

Notez que la correspondance est efficace "jusqu'à ce qu'une autre ligne Match ou la fin du fichier soit atteinte." (l'indentation n'est pas significative)

Répondu el 30 de Juin, 2011 par Cakemox (23637 Points )

6 votes

Avatar de 84104

Préférer Match user !root pour ce cas

Commenté el 30 de Juin, 2011 par 84104

1 votes

Avatar de David Anderson - DCOM

Génial, je ne connaissais pas la syntaxe Match. Une suggestion que je ferais, cependant, est que si c'est un serveur public, je ne permettrais pas du tout la connexion en tant que root via SSH. Probablement pas grave si c'est en interne, cependant...

Commenté el 30 de Juin, 2011 par David Anderson - DCOM

0 votes

Avatar de Stepan

Je n'autoriserais pas du tout la connexion root via SSH - Nous utilisons un mot de passe root fort donc ce n'est pas une réelle faiblesse de sécurité.

Commenté el 4 de Juillet, 2011 par Stepan
Afficher 13 autres commentaires

38voto

Trevor Hateley avatar
Trevor Hateley Points 441

Match dans sshd_config fonctionne bien. Vous devriez utiliser Match all pour mettre fin au bloc de correspondance si vous utilisez openssh 6.5p1 ou supérieur. Exemple:

PasswordAuthentication no
Match User root
PasswordAuthentication yes
Match all
Répondu el 27 de Novembre, 2016 par Trevor Hateley (441 Points )

0 votes

Avatar de Dimitrios

Ça n'a pas fonctionné pour moi...

Commenté el 23 de Mai, 2019 par Dimitrios

2 votes

Avatar de Jason

"Match all" a fait l'affaire. Merci. Sans "Match all", sshd ne démarre pas.

Commenté el 10 de Octobre, 2019 par Jason

0 votes

Avatar de Fintan Kearney

Cela ne fonctionne pas sous Ubuntu 20.04.

Commenté el 16 de Juin, 2020 par Fintan Kearney
Afficher 2 autres commentaires

4voto

Everdata technologies avatar
Everdata technologies Points 41

En raison de certaines raisons de sécurité, il se peut que vous ayez besoin de bloquer l'accès SSH de certains utilisateurs à la boîte Linux.

Modifiez le fichier sshd_config, l'emplacement peut parfois être différent en fonction de la distribution Linux, mais il se trouve généralement dans /etc/ssh/.

Ouvrez le fichier en étant connecté en tant que root :

# vi /etc/ssh/sshd_config

Insérez une ligne à la fin du fichier de configuration :

DenyUsers nom_utilisateur1 nom_utilisateur2 nom_utilisateur3 nom_utilisateur4

Enregistrez et redémarrez les services SSH. Fondamentalement, les connexions SSH des utilisateurs nom_utilisateur1, nom_utilisateur2, nom_utilisateur3 et nom_utilisateur4 sont interdites.

Exécutez la commande suivante pour redémarrer la même :-

# systemctl restart sshd

La demande a été effectuée. Veuillez retirer l'accès SSH à ces utilisateurs et vous obtiendrez une erreur "Accès refusé".

Répondu el 7 de Mai, 2019 par Everdata technologies (41 Points )

1 votes

Avatar de Gerald Schneider

La question concernait la désactivation de la connexion par mot de passe (mais en conservant la connexion par authentification par clé).

Commenté el 7 de Mai, 2019 par Gerald Schneider

2voto

mikaraento avatar
mikaraento Points 511

Il existe plusieurs façons de faire cela - tout d'abord, vous pourriez potentiellement exécuter un deuxième démon sshd sur un port différent avec une configuration différente - c'est un peu une astuce, mais avec un peu de travail de chroot, cela devrait fonctionner parfaitement.

De plus, vous pourriez autoriser l'authentification par mot de passe, mais verrouiller les mots de passe pour tous sauf un seul utilisateur. Les utilisateurs dont les mots de passe sont verrouillés pourront toujours s'authentifier avec des clés publiques.

Répondu el 30 de Juin, 2011 par mikaraento (511 Points )

1voto

HansV avatar
HansV Points 1

L'ordre des déclarations de configuration compte ... ma solution pour le fichier

/etc/ssh/sshd_config:

Match Utilisateur  
PasswordAuthentication yes
Match Utilisateur all
PasswordAuthentication no
Répondu el 22 de Septembre, 2021 par HansV (1 Points )

0 votes

Avatar de Michael Hampton

Voir l'aide sur le formatage pour apprendre comment ajouter du formatage à vos publications.

Commenté el 22 de Septembre, 2021 par Michael Hampton

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X