Met het keyword Match in sshd_config kun je een blok met configuratie-opdrachten beperken tot bepaalde gebruikers, groepen, hosts of IP-adressen. De bedoeling is dat je de configuratie-opdrachten die voor iedereen gelden in een globaal deel van sshd_config plaatst, en dan deze waarden laat overriden als aan bepaalde voorwaarden voldaan is. Een voorbeeld:

AllowTcpForwarding no

X11Forwarding no

PasswordAuthentication no

Match Group admin

AllowTcpForwarding yes

X11Forwarding yes

Match Group users

Banner banner.users

Match Address 192.168.0.0/24

PasswordAuthentication yes

We schakelen dus TCP forwarding, X11 forwarding en authenticatie via een wachtwoord uit. Daarna definiëren we dat gebruikers van de groep admin wel toegang krijgen tot TCP forwarding en X11 forwarding, en dat gebruikers van de groep users een speciale banner te zien krijgen. En tot slot zeggen we dat wie inlogt van in het lokale netwerk wel met een wachtwoord mag inloggen.

Als aan alle criteria op de Match-regel voldaan is, worden alle configuratie-opdrachten uitgevoerd tot de volgende Match-regel of het einde van het bestand. Daarom moet je er dus voor zorgen dat de globale opdrachten in het begin van sshd_config staan en de Match-blokken helemaal op het einde.

Niet alle configuratie-opdrachten mogen in een Match-blok staan. Kijk hiervoor de man-pagina van sshd_config na.

Bron: Techworld