SSH 규칙을 따르지 않음

tag-icon tag-icon ssh alma-linux
SSH 규칙을 따르지 않음

어떤 이유로 SSH는 더 이상 제한되지 않습니다. 어떤 사용자로든 로그인하고 인증 방법을 선택할 수 있습니다. 허용 목록에는 없지만 여전히 모든 사용자로 로그인하고 인증 방법을 사용할 수 있는 테스트 사용자를 만들었습니다.

이 규칙은 이전에 시행되었지만 현재는 중단되었습니다. AlmaLinux 8 시스템에서 발생합니다.

사용 가능한 항목은 다음과 같습니다.

PermitRootLogin no
PubkeyAuthentication no
PasswordAuthentication no

Match User nagios
    PasswordAuthentication no
    PubkeyAuthentication yes

Match User meta
    PasswordAuthentication yes
    PubkeyAuthentication yes

Match User yubi Address 10.10.0.201/32
    PasswordAuthentication no
    PubkeyAuthentication yes
    AllowUsers yubi

Match Address 10.10.0.0/24
        AllowUsers meta

Match Address 22.22.22.22
        AllowUsers nagios

이 문제는 AlmaLinux 9에서도 발생합니다. 사용자 재정의가 더 이상 작동하지 않는 것 같습니다. 내 AlmaLinux 9 파일의 전체 항목은 다음과 같습니다./etc/ssh/sshd_config.d/sshd_custom_rules.conf

## Custom SSH rules
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication no

Match Address 192.168.68.0/22
    AllowUsers yubi repository-admin

Match User yubi
    PasswordAuthentication yes
    PubkeyAuthentication no

Match User repository-admin
    PasswordAuthentication no
    PubkeyAuthentication yes

주요 sshd_config설정은 기본값입니다. 주석 처리되지 않은 줄은 다음과 같습니다.

Include /etc/ssh/sshd_config.d/*.conf
Port 22
AuthorizedKeysFile      .ssh/authorized_keys
Subsystem       sftp    /usr/libexec/openssh/sftp-server

파일에 있는 내용이에요/etc/ssh/sshd_config.d/50-redhat.conf

# This system is following system-wide crypto policy. The changes to
# crypto properties (Ciphers, MACs, ...) will not have any effect in
# this or following included files. To override some configuration option,
# write it before this block or include it before this file.
# Please, see manual pages for update-crypto-policies(8) and sshd_config(5).
Include /etc/crypto-policies/back-ends/opensshserver.config

SyslogFacility AUTHPRIV

ChallengeResponseAuthentication yes

GSSAPIAuthentication yes
GSSAPICleanupCredentials no

UsePAM yes

X11Forwarding yes

# It is recommended to use pam_motd in /etc/pam.d/sshd instead of PrintMotd,
# as it is more configurable and versatile than the built-in version.
PrintMotd no

프로필에서 사용자를 제거하면 해당 사용자는 로그인할 수 없습니다. 활성화되면 사용자는 PubkeyAuthentication또는 인증만 허용하더라도 모든 인증 방법을 사용하여 액세스할 수 있습니다 PasswordAuthentication.

답변1

비밀번호 확인을 비활성화하려면 ChallengeResponseAuthentication로 설정해야 합니다 no.

관련 정보