Openssh felhasználó hozzáférés korlátozása
Amennyiben foglalkozunk linux rendszerünk biztonságával és így kellően kevés felhasználó férhet hozzá operációs rendszer szinten a linux szerverhez, akkor az openssh használata esetén további lehetőségünk van a rendszeren esetleg más célból létrehozott felhasználók távoli hozzáférésének a korlátozására.
Ennek a megoldásnak az egyik lehetséges módja az Openssh AllowUsers , AllowGroups beállítás.
Az openssh PermitRootLogin beállítás
Röviden megemlítem a PermitRootLogin opciót. Ez még mostanában default “yes”. Ezt nagyon hamar le kell tiltani. A biztonsághoz a legjobb választás a “no”, ez azt jelenti, hogy a root semmilyen módon nem férhet hozzá közvetlenül ssh-n keresztül a linux szerverhez. Ez azért fontos, mert egy egyszerű jelszó lopással megszerezhetik a teljes uralmat a szerver felett.
Ezen kívül a használható opciók: “yes”, “without-password”, “forced-commands-only”, és a “no”.
A “yes” a teljes hozzáférés (jelszóval, ssh kulccsal). A “no” a minden hozzáférés tiltása. A “without-password” opció esetén csak a jelszavas bejelentkezést tiltjuk, pl. ssh kulcsos azonosítás lehetséges. A “forced-commands-only” beállítás esetén pedig bizonyos kontrollált parancsok futtatását engedélyezzük root felhasználóval.
Az openssh AllowUsers beállítás
Ennek az AllowUsers opciónak a használata célszerű, amennyiben a csak pár felhasználónak engedélyezzük az ssh kapcsolaton keresztüli hozzáférést.
A megadás módja egyszerű:
AllowUsers backup, thalap, cpartner
Tehát csak a három felsorolt felhasználó léphet be a linux szerverre az ssh porton keresztül.
Az openssh AllowGroups beállítás
Az AllowGroups használata az AllowUsers opcióhoz hasonlóan vesszővel elválasztva felsorolhatjuk azokat a groupokat, akik tagjainak engedélyezzük a linux operációs rendszer shell szintű hozzáférését
AllowGroups sysadms, users, webadms
Mikor ajánlatos ezen openssh beállítások elvégzése
Az olyan linux rendszergazdák számára mindenképp javasoljuk, akik teljes kontrollt kívánnak fenntartani a szerverhez való hozzáférésben.
A hozzáférés vezérlés szintjét a helyi sajátosságoknak megfelelően ki lehet választani. Bizony rendszereken a felhasználó szintű AllowUsers használata, más rendszereken a csoportok szerinti AllowGroups rendszer alkalmazása a célravezető.
Ami miatt kifejezetten ajánlott ezen beállítások használata azok a technikai felhasználók, valamint a bizonyos linux csomagok installálása közben létrejövő szolgáltatás tulajdonló felhasználók. Az ilyen új felhasználók létrejöttük után rögtön “hozzáférést” is kaphatnak a rendszerhez, ami komoly biztonsági rést jelenthet.
Comments are closed, but trackbacks and pingbacks are open.