মূল কী-ভিত্তিক প্রমাণীকরণের সাহায্যে মূলকে ssh এর মাধ্যমে লগইন করতে অনুমতি দিন


49

আমার কিছু নির্দিষ্ট এসএস সার্ভার কনফিগারেশন নিয়ে সন্দেহ আছে /etc/ssh/sshd_config। আমি পরবর্তী আচরণ চাই:

  1. পাবলিক কী প্রমাণীকরণ হ'ল রুট হিসাবে প্রমাণীকরণের একমাত্র উপায় (কোনও পাসওয়ার্ড প্রমাণীকরণ বা অন্য নেই)
  2. সাধারণ ব্যবহারকারীরা উভয়ই ব্যবহার করতে পারেন (পাসওয়ার্ড এবং সর্বজনীন কী প্রমাণীকরণ)

আমি যদি PasswordAuthentication noআমার প্রথম পয়েন্টটি সন্তুষ্ট করি তবে দ্বিতীয়টি নয়। PasswordAuthentication noশুধুমাত্র রুট জন্য সেট করার একটি উপায় আছে ?

উত্তর:


78

আপনি PermitRootLoginনির্দেশটি ব্যবহার করে এটি করতে পারেন । sshd_configম্যানপেজ থেকে :

রুট ssh (1) ব্যবহার করে লগ ইন করতে পারে কিনা তা উল্লেখ করে। যুক্তিটি অবশ্যই "হ্যাঁ", "পাসওয়ার্ড ছাড়াই", "জোরপূর্বক-আদেশ-কেবল", বা "না" হতে হবে। ডিফল্ট হ্যাঁ "হ্যাঁ"।

যদি এই বিকল্পটি "পাসওয়ার্ড ছাড়াই" সেট করা থাকে তবে মূলের জন্য পাসওয়ার্ড প্রমাণীকরণ অক্ষম করা হবে।

নিম্নলিখিত আপনি যা চান তা সম্পাদন করবে:

PasswordAuthentication yes
PermitRootLogin without-password

1
আমি এটি ডেবিয়ানের সাথে service ssh restartচেষ্টা করে সার্ভারে এবং তারপরে ক্লায়েন্টের সাথে আমার কী ছাড়াই সংযোগ দেওয়ার চেষ্টা করেছি ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no root@hostএবং পাসওয়ার্ডের সাথে লগইন করতে পারি নি তবে মূল ব্যবহারকারীর জন্য কী ব্যবহার করতে পারি।
বাসটিয়ান

হ্যাঁ, আপনি যদি কেবল পরিবর্তে এটি করেন তবে আপনি পাসওয়ার্ড দিয়ে লগইন করতে পারবেন: ssh -o PreferredAuthentications=password root@hostবিশেষত সুরক্ষিত নয়
ইমো

2
2019 এ এটি "পারমিট রুটলগিন নিষিদ্ধ-পাসওয়ার্ড", পাসওয়ার্ডবিহীন পুরানো হ'ল একটি অবহেলা নাম alias
vbraun

10

আপনি Matchব্যবহারকারী বা গোষ্ঠী অনুসারে কিছু অপশন কনফিগার করতে ব্লক ব্যবহার করতে পারেন বা প্রতি আইপি ঠিকানা বা সংযোগের উত্সের হোস্টের নাম authentic

PasswordAuthentication yes
PermitRootLogin yes

Match User root
PasswordAuthentication no

3
আমি আমার এসএস সার্ভার থেকে এটি করতে পেরেছি।
রিচার্ড মেটজলার

আপনি যদি কখনও পাসওয়ার্ডের প্রম্পটটি মূলের জন্য উপস্থিত না চান তবে এটি সর্বোত্তম পদ্ধতি বলে মনে হচ্ছে।
লিও

এটিও আমাকে লক আউট করেছে। আমি মনে করি এটি ভুল ক্রমে হতে পারে ...
গ্যারি

3

আমার সার্ভারে মূল সুযোগগুলি দেওয়ার জন্য আমার আরও আরও প্রতিবন্ধকতা রয়েছে, যা আমার মতো ভৌতিক বিষয়গুলির জন্য আকর্ষণীয় হতে পারে। আপনি কী করেন এবং কোন ক্রমে সতর্ক হন, অন্যথায় আপনি এমন একটি সিস্টেমের সাথে শেষ করতে পারেন যা আপনি রুট অ্যাক্সেস পেতে পারবেন না।

  • একটি নির্দিষ্ট গোষ্ঠী তৈরি করুন sugroup, যার সদস্যগণকে রুট হওয়ার অনুমতি দেওয়া হবে এবং কেবলমাত্র sshd_confid এর শেষে নিম্নলিখিত লাইনগুলি রেখে এই গোষ্ঠীর জন্য কী প্রমাণীকরণের অনুমতি দেওয়া হবে :

Match Group sugroup

PasswordAuthentication no

  • কমান্ডটি auth required pam_wheel.so group=sugroupভিতরে রাখুন /etc/pam.d/su। এটি ইতিমধ্যে সেখানে থাকতে পারে এবং আপনাকে কেবল এটির অসুবিধা করতে হবে। এটি সুগারুপের সদস্য নয় এমন সমস্ত ব্যবহারকারীর রুট অ্যাক্সেসকে অস্বীকার করে
  • একটি শক্ত রুট পাসওয়ার্ড চয়ন করুন :)
  • আপনার নতুন প্রমাণীকরণ পদ্ধতিটি কাজ করে কিনা তা পরীক্ষা করে দেখুন এবং কেবল যদি:
  • ব্যবহার করে ssh -র মাধ্যমে সরাসরি রুট লগইন অস্বীকার PermitRootLogin noমধ্যে /etc/ssh/sshd_config

এই কনফিগারেশনটি ব্যবহার করে কোনও মূল প্রমাণীকরণ এবং রুট হওয়ার জন্য একটি পাসওয়ার্ড ব্যবহার করা প্রয়োজন। আমি আমার সার্ভারটি এটির মতো কনফিগার করেছি, যেহেতু আমি প্রমাণীকরণ পদ্ধতি নির্বিশেষে এসএসএসের মাধ্যমে সরাসরি রুট অ্যাক্সেস না করা পছন্দ করি।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.