Openssh felhasználó hozzáférés korlátozása

Openssh felhasználó hozzáférés korlátozása

Amennyiben foglalkozunk linux rendszerünk biztonságával és így kellően kevés felhasználó férhet hozzá operációs rendszer szinten a linux szerverhez, akkor az openssh használata esetén további lehetőségünk van a rendszeren esetleg más célból létrehozott felhasználók távoli hozzáférésének a korlátozására.

Ennek a megoldásnak az egyik lehetséges módja az Openssh AllowUsers , AllowGroups beállítás.

Az openssh PermitRootLogin beállítás

Röviden megemlítem a PermitRootLogin opciót. Ez még mostanában default “yes”. Ezt nagyon hamar le kell tiltani. A biztonsághoz a legjobb választás a “no”, ez azt jelenti, hogy a root semmilyen módon nem férhet hozzá közvetlenül ssh-n keresztül a linux szerverhez. Ez azért fontos, mert egy egyszerű jelszó lopással megszerezhetik a teljes uralmat a szerver felett.

Ezen kívül a használható opciók: “yes”, “without-password”, “forced-commands-only”, és a “no”.

A “yes” a teljes hozzáférés (jelszóval, ssh kulccsal). A “no” a minden hozzáférés tiltása. A “without-password” opció esetén csak a jelszavas bejelentkezést tiltjuk, pl. ssh kulcsos azonosítás lehetséges. A “forced-commands-only” beállítás esetén pedig bizonyos kontrollált parancsok futtatását engedélyezzük root felhasználóval.

Az openssh AllowUsers beállítás

Ennek az AllowUsers opciónak a használata célszerű, amennyiben a csak pár felhasználónak engedélyezzük az ssh kapcsolaton keresztüli hozzáférést.

A megadás módja egyszerű:

AllowUsers backup, thalap, cpartner

Tehát csak a három felsorolt felhasználó léphet be a linux szerverre az ssh porton keresztül.

Az openssh AllowGroups beállítás

Az AllowGroups használata az AllowUsers opcióhoz hasonlóan vesszővel elválasztva felsorolhatjuk azokat a groupokat, akik tagjainak engedélyezzük a linux operációs rendszer shell szintű hozzáférését

AllowGroups  sysadms, users, webadms

Mikor ajánlatos ezen openssh beállítások elvégzése

Az olyan linux rendszergazdák számára mindenképp javasoljuk, akik teljes kontrollt kívánnak fenntartani a szerverhez való hozzáférésben.

A hozzáférés vezérlés szintjét a helyi sajátosságoknak megfelelően ki lehet választani. Bizony rendszereken a felhasználó szintű AllowUsers használata, más rendszereken a csoportok szerinti AllowGroups rendszer alkalmazása a célravezető.

Ami miatt kifejezetten ajánlott ezen beállítások használata azok a technikai felhasználók, valamint a bizonyos linux csomagok installálása közben létrejövő szolgáltatás tulajdonló felhasználók. Az ilyen új felhasználók létrejöttük után rögtön “hozzáférést” is kaphatnak a rendszerhez, ami komoly biztonsági rést jelenthet.

 

 

 

Comments are closed, but trackbacks and pingbacks are open.