La dure loi du ssh

Publié le par Peck

Cet article a migré sur http://linux-attitude.fr/post/La-dure-loi-du-ssh

Niveau :
Résumé : Match

Savez vous qu'en ssh vous pouvez imposer des contraintes à certains utilisateurs seulement.

Exemple pour interdire l'utilisation de mots de passe à un groupe d'utilisateurs (à mettre dans /etc/ssh/sshd_config) :
Match Group glandus
PasswordAuthentication no

Attention, toutes les lignes qui suivent un match sont liées à ce match juqu'au prochain match ou à la fin du fichier de configuration. Placez donc vos directives match à la fin du fichier.

Pour forcer l'utilisation d'une commande à un utilisateur donné :
Match User toto
ForceCommand /bin/cat /etc/php5/apache2/php.ini

Pour forcer l'affichage d'un texte d'avertissement avant la connexion pour les machines venant d'un certain réseau :
Match Host *.linux.fr
Banner /etc/ssh_warn

Pour interdire le forwarding de port à une machine (un utilisateur un peu doué saura contourner ça) :
Match Address 192.168.1.1
AllowTcpForwarding no

Publié dans admin

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Chewy 20/09/2007 15:12

Ou bien blacklister avec iptables directement car ban2ip  se base sur les logs ce qui n'est pas directement la même chose...iptables -A eth0-blacklist -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHiptables -A eth0-blacklist -p tcp --dport 22 -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 6 -j LOG --log-prefix "SSH_brute_force "iptables -A eth0-blacklist -p tcp --dport 22 -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 6 -j DROP

bonzo 19/09/2007 23:19

Y'a qui dans ton groupe glandus ?