클라이언트 애플리케이션을 위한 새 서버를 확보하려고 합니다. 내가 달성하고 싶은 것은 특정 그룹 내의 사용자에 대한 SSH 액세스를 잠그는 것입니다.
내 그룹 "remote"를 만들고 "remoteuser"라는 그룹에 대한 새 사용자를 만들었습니다. /etc/group을 보면 알 수 있습니다.
remote:x:823:remoteuser
/etc/ssh/sshd_config옵션을 추가 했어요
AllowGroups remote
매뉴얼 페이지 에 따르면 sshd_config이는 "원격" 그룹의 사용자로만 로그인을 제한해야 합니다.
sshd를 다시 시작한 후 다른 사용자로 로그인을 시도하면 비밀번호를 묻는 메시지가 나타납니다. 누군가 내가 잘못 가고 있는 곳을 지적할 수 있습니까?
우분투 16.10을 사용하고 있습니다
답변1
비밀번호를 입력하라는 메시지가 표시되지만, 올바른 비밀번호를 제공하더라도 액세스 권한이 부여되지 않습니다. 이것이 이 옵션이 작동하는 방식입니다.
이는 서버가 유효한 계정을 가진 사용자 목록을 공개하지 않는 또 다른 수준의 기밀입니다. 이것이 완료되지 않으면 공격자는 몇 분 안에 서버에서 유효한 사용자를 검색하고 비밀번호가 취약하거나 기타 추측이 있을 것으로 예상되는 기존 사용자만 공격할 수 있습니다.
답변2
"AllowGroups"가 로그인 프롬프트를 표시하는 대신 다른 그룹의 사용자가 로그인하는 것을 방지한다고 추측해 보겠습니다.
보안 관점에서 볼 때 이는 더 현명한 접근 방식입니다. 그렇지 않으면 공격자가 로그인 프롬프트의 존재를 악용하여 그룹에 속한 사람을 무차별 대입 분석할 수 있습니다.
비밀번호 로그인을 방지하려면 "PasswordAuthentication no"를 사용하는 것이 좋습니다.