Voorwaardelijke instellingen in ssh
Gepubliceerd: Dinsdag 23 november 2010
Auteur: Koen Vervloesem
Een voorzichtige systeembeheerder wil niet alle mogelijkheden van ssh aan iedere gebruiker aanbieden. Gelukkig heeft OpenSSH hiervoor de Match-opdracht in sshd_config, die voorwaardelijke instellingen aanbiedt.
Met het keyword Match in sshd_config kun je een blok met configuratie-opdrachten beperken tot bepaalde gebruikers, groepen, hosts of IP-adressen. De bedoeling is dat je de configuratie-opdrachten die voor iedereen gelden in een globaal deel van sshd_config plaatst, en dan deze waarden laat overriden als aan bepaalde voorwaarden voldaan is. Een voorbeeld:
AllowTcpForwarding no
X11Forwarding no
PasswordAuthentication no
Match Group admin
AllowTcpForwarding yes
X11Forwarding yes
Match Group users
Banner banner.users
Match Address 192.168.0.0/24
PasswordAuthentication yes
We schakelen dus TCP forwarding, X11 forwarding en authenticatie via een wachtwoord uit. Daarna definiƫren we dat gebruikers van de groep admin wel toegang krijgen tot TCP forwarding en X11 forwarding, en dat gebruikers van de groep users een speciale banner te zien krijgen. En tot slot zeggen we dat wie inlogt van in het lokale netwerk wel met een wachtwoord mag inloggen.
Als aan alle criteria op de Match-regel voldaan is, worden alle configuratie-opdrachten uitgevoerd tot de volgende Match-regel of het einde van het bestand. Daarom moet je er dus voor zorgen dat de globale opdrachten in het begin van sshd_config staan en de Match-blokken helemaal op het einde.
Niet alle configuratie-opdrachten mogen in een Match-blok staan. Kijk hiervoor de man-pagina van sshd_config na.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
