No olvides que en las ciencias un error puede tener diversas resoluciones, pero aquí te compartimos lo más óptimo y eficiente.
Solución:
Solución 1:
Sí, AllowUsers
tiene prioridad sobre AllowGroups
. Si se especifica, solo los usuarios que coincidan con el patrón especificado en AllowUsers
puede conectarse a la instancia SSHD.
De acuerdo a sshd_config
página de manual:
Las directivas allow/deny se procesan en el siguiente orden:
DenyUsers
,AllowUsers
,DenyGroups
y finalmenteAllowGroups
.
Entonces, la solución a su problema probablemente sea usar una u otra, posiblemente las directivas de acceso de grupo si los grupos son su forma preferida de administrar usuarios.
Solución 2:
La respuesta de Jeff cubre los detalles de la pregunta como se detalla, pero encontré que esta pregunta buscaba usar AllowUsers
y AllowGroups
en un escenario ligeramente diferente. Quería restringir las conexiones entrantes a los usuarios de un grupo (ssh) provenientes de subredes específicas.
Las reglas de conexión en sshd_config son un filtro: a medida que se aplica cada regla adicional, solo se puede reducir el conjunto de usuarios aceptables. PATTERNS
en ssh_config(5) explica la forma de esas reglas.
Adicionalmente, según el AllowUsers
Sección de sshd_config
:
Si el patrón toma la forma [email protected] luego, el USUARIO y el HOST se verifican por separado, lo que restringe los inicios de sesión a usuarios particulares de hosts particulares. Los criterios HOST también pueden contener direcciones para coincidir en formato de dirección/máscara CIDR.
AllowGroups
no acepta la [email protected] forma.
Entonces, para aceptar usuarios 1) en el grupo ssh y 2) de subredes/hosts específicos:
AllowUsers *@192.168.1.0/24 *@*.example.com *@1.2.3.4
AllowGroups ssh
Solución 3:
Aquí hay una solución que hemos encontrado funcionando:
AllowUsers user1 user2
Match group ssh-users
AllowUsers *