No olvides que en las ciencias un error puede tener diversas resoluciones, pero aquí te compartimos lo más óptimo y eficiente.
Solución:
Solución 1:
Sí, AllowUsers tiene prioridad sobre AllowGroups. Si se especifica, solo los usuarios que coincidan con el patrón especificado en AllowUsers puede conectarse a la instancia SSHD.
De acuerdo a sshd_config página de manual:
Las directivas allow/deny se procesan en el siguiente orden:
DenyUsers,AllowUsers,DenyGroupsy finalmenteAllowGroups.
Entonces, la solución a su problema probablemente sea usar una u otra, posiblemente las directivas de acceso de grupo si los grupos son su forma preferida de administrar usuarios.
Solución 2:
La respuesta de Jeff cubre los detalles de la pregunta como se detalla, pero encontré que esta pregunta buscaba usar AllowUsers y AllowGroups en un escenario ligeramente diferente. Quería restringir las conexiones entrantes a los usuarios de un grupo (ssh) provenientes de subredes específicas.
Las reglas de conexión en sshd_config son un filtro: a medida que se aplica cada regla adicional, solo se puede reducir el conjunto de usuarios aceptables. PATTERNS en ssh_config(5) explica la forma de esas reglas.
Adicionalmente, según el AllowUsers Sección de sshd_config:
Si el patrón toma la forma [email protected] luego, el USUARIO y el HOST se verifican por separado, lo que restringe los inicios de sesión a usuarios particulares de hosts particulares. Los criterios HOST también pueden contener direcciones para coincidir en formato de dirección/máscara CIDR.
AllowGroups no acepta la [email protected] forma.
Entonces, para aceptar usuarios 1) en el grupo ssh y 2) de subredes/hosts específicos:
AllowUsers *@192.168.1.0/24 *@*.example.com *@1.2.3.4
AllowGroups ssh
Solución 3:
Aquí hay una solución que hemos encontrado funcionando:
AllowUsers user1 user2
Match group ssh-users
AllowUsers *