Skip to main content

[Thủ Thuật Linux] Cách cho phép hoặc từ chối truy cập SSH đối với User hoặc Group

Giới thiệu từ chối truy cập SSH đối với User hoặc Group trên Linux

Chúng ta đã thảo luận về cách giới hạn quyền truy cập của người dùng vào hệ thống Linux bằng cách sử dụng Restricted shell. Khi chúng tôi đã đặt người dùng ở chế độ hạn chế, họ không thể làm bất cứ điều gì ngoại trừ những gì họ được phép làm.

Nó sẽ hữu ích khi bạn muốn cho phép một người dùng cụ thể chỉ thực thi một bộ lệnh cụ thể.

Trong bài viết này, chúng tôi sẽ bật hoặc tắt quyền truy cập SSH cho người dùng hoặc nhóm bằng cách thực hiện một vài thay đổi trong tệp cấu hình mặc định SSH.

Cho phép hoặc từ chối quyền truy cập SSH đối với người dùng hoặc nhóm cụ thể trong Linux

Tệp cấu hình mặc định openSSH có hai chỉ thị cho phép và từ chối quyền truy cập SSH đối với (các) người dùng hoặc một nhóm cụ thể.

Xin lưu ý rằng tất cả các lệnh đưa ra dưới đây phải được chạy với tư cách người dùng root hoặc sudo.

1. Chỉ cho phép truy cập SSH với người dùng hoặc nhóm cụ thể

Để cho phép truy cập SSH cho một người dùng cụ thể, ví dụ: người dùng sk, chỉnh sửa /etc/ssh/sshd_config:

sudo vi /etc/ssh/sshd_config

#Nhấn "i" để vào chế độ chèn và thêm hoặc sửa đổi dòng sau:
AllowUsers sk

Thay thế "sk" bằng tên người dùng của bạn. Xin lưu ý khoảng cách thụt lề giữa "AllowUsers" và "sk". Bạn nên sử dụng phím Tab thay vì Space-bar. Ý nghĩa - thêm từ "AllowUsers" và nhấn phím Tab, sau đó chỉ định tên người dùng.

Bạn cũng có thể chỉ định nhiều hơn một người dùng như được hiển thị bên dưới.

AllowUsers user1 user2

Hoặc Group 

AllowGroups root group1

Nhấn phím ESC để thoát khỏi chế độ chèn và gõ: wq để lưu và thoát tệp cấu hình SSH. Khởi động lại dịch vụ SSH để các thay đổi có hiệu lực.

sudo systemctl restart sshd

Bạn có thể test bằng cách lệnh này

ssh ostechnix@192.168.225.52

#bạn sẽ nhận lỗi
ostechnix@192.168.225.52's password: 
Permission denied, please try again.

2. Từ chối truy cập SSH với người dùng hoặc nhóm cụ thể

Tương tự như cấp phép ở trên, chúng ta vẫn sẽ dùng lệnh config lần lượt như sau

# mở file config ssh
sudo vi /etc/ssh/sshd_config

#thêm dòng dưới để chặn user cụ thể
DenyUsers user1 user2

#hoặc chặn groups
DenyGroups group1 group2

Nhớ restart để config có hiệu lực

3. Tắt kết nối SSH với user root.

Vô hiệu hoá người dùng root kết nối vào SSH sẽ giúp tăng cường bảo mật. Sau khi vô hiệu hoá root bạn phải dùng một user khác để kết nối SSH và chuyển user root bằng lệnh su

#mở file
sudo vi /etc/ssh/sshd_config

#Set giá trị no để chặn root kết nối SSH
PermitRootLogin no

#và restart ssh service
sudo systemctl restart sshd

https://ostechnix.com/allow-deny-ssh-access-particular-user-group-linux/