Configuración PAM+SSH para denegar acceso SSH

Existen muchas formas de denegar el acceso de un usuario a un sistema GNU/Linux, pero quizás el empleo del módulo pam_listfile.so en SSH sea uno de los más efectivos y potentes.
Se puede dar el caso de que un usuario pueda tener que acceder al equipo localmente, pero de ninguna forma nos interese que éste pueda acceder remotamente. En este caso, tener un listado de usuario al que denegarle el acceso sería más que interesante. Pues bien, esto es lo que vamos a configurar a continuación. Para ello, vamos a modificar el módulo SSH de PAM (/etc/pam.d/ssh) para indicarle que emplee la opción de una lista de usuario denegados, tal como sigue.
...
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/ssh.deny onerr=succeed
...
Una explicación sencilla de la línea que acabamos de agregar es:
  • auth required pam_listfile.so
    Nombre del módulo requerido para validar los usuarios.
  • item=user
    Chequea el campo usuario.
  • sense=deny
    Deniega el acceso si el usuario está en el fichero especificado.
  • file=/etc/ssh/ssh.deny
    Fichero con los nombres de usuario (uno por línea)
  • onerr=succeed
    Devuelve un PAM_SUCCESS si hay un error.
Una vez tenemos agregada la línea anterior, simplemente creamos el fichero /etc/ssh/ssh.deny y escribimos los nombres de usuario a los que queramos impedir el acceso, uno por línea.
usuario_1
usuario_2
...
Desde este momento cualquier usuario que desee acceder al sistema y esté dentro del fichero ssh.deny no lo podrá hacer.


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios