SSH pozwala ograniczyć dostęp do serwera tylko użytkownikom z określonej grupy. Nie będąc jej członkami, inni użytkownicy nie będą mogli zalogować się do serwera przez ssh. Jest to dogodna okazja do wydawania praw dostępu tylko tym użytkownikom, którzy naprawdę tego potrzebują.
Na początku musisz utworzyć grupę, której członkowie będą uprawnieni do pracy z ssh. Taka grupa GID jest wskazana, aby nie zepsuć równości UID / GID dla nowych użytkowników utworzonych w systemie.
# addgroup --gid 9999 whocanusessh
Następnie w pliku konfiguracyjnym / etc / ssh / sshd_config ustawiamy parametr.
AllowGroups whocanusessh
Potem koniecznie dodajemy root do tej grupy:
# adduser root whocanusessh
Jeśli nie zostanie to zrobione, root nie będzie mógł uzyskać dostępu do serwera za pomocą tego protokołu.
Na koniec zrestartuj ssh za pomocą polecenia restartu ssh .
Jak to działa. Na przykład, aby edytować pliki example.com za pośrednictwem sftp, musisz przyznać dostęp do webmastera. Dodajemy go do grupy, podobnie do dodawania root. Wykonaj niezbędne operacje.
Po zakończeniu pracy usuń użytkownika z grupy.
# deluser webmaster whocanusessh
Próby uwierzytelnienia użytkowników, którzy nie należą do wybranej grupy, zostaną odrzucone przez serwer.
PS Oczywiście możliwe jest określenie każdego użytkownika osobno w pliku konfiguracyjnym ssh, ale zajmie to znacznie więcej czasu niż dodanie użytkownika do grupy lub usunięcie z niej. :)