Início / ubuntu / Perguntas / 16650
Accepted
Oli
Asked: 2010-12-09 08:01:55 +0800 CST

Crie um novo usuário SSH no Ubuntu Server

  • 772

Acabei de criar um novo servidor Ubuntu virtual e estou no processo de fortalecê-lo para uso em produção. Atualmente tenho uma conta root. Eu quero fazer o seguinte:

  • Crie um novo usuário (vamos chamá-lo jimpara o resto). Eu quero que eles tenham um /home/diretório.
  • jimacesso SSH.
  • Permitir jimfazer suroot, mas não executar sudooperações.
  • Desative o acesso SSH root.
  • Mova o SSHd para uma porta não padrão para ajudar a interromper ataques brutos.

Meu problema está nos dois primeiros itens. Já encontrei useraddmas por algum motivo não consigo logar como usuário criado com ele por SSH. Preciso vencer o SSHd para permitir isso?

server ssh users

9 respostas

  1. O SSH é muito exigente quanto às permissões de diretório e arquivo. Certifique-se de que:

    1. O diretório /home/username/.ssh tem permissão "700" e é de propriedade do usuário (não root!)
    2. O /home/username/ssh/authorized_keys tem permissão "600" e é de propriedade do usuário

    Copie sua chave pública no arquivo authorized_keys.

    sudo chown -R username:username /home/username/.ssh
sudo chmod 0700 /home/username/.ssh
sudo chmod 0600 /home/username/.ssh/authorized_keys

    Não há necessidade de adicionar o usuário ao /etc/ssh/ssh_config.

    • 131
  2. Best Answer

    Edite (como root) /etc/ssh/sshd_config. Anexar o seguinte a ele:

    Port 1234
PermitRootLogin no
AllowUsers jim

    Port 1234faz com que o SSH escute na porta 1234. Você pode usar qualquer porta não utilizada de 1 a 65535. Recomenda-se escolher uma porta privilegiada (porta 1-1024) que só pode ser usada pelo root. Se seu daemon SSH parar de funcionar por algum motivo, um aplicativo não autorizado não poderá interceptar a conexão.

    PermitRootLoginnão permite o login root direto.

    AllowUsers jimpermite que o usuário jimfaça login através de SSH. Se você não precisar fazer login de qualquer lugar, poderá tornar isso mais seguro restringindo o jim a um endereço IP (substitua 1.2.3.4 pelo seu endereço IP real):

    AllowUsers [email protected]

    As alterações no arquivo de configuração /etc/ssh/sshd_confignão são aplicadas imediatamente, para recarregar a configuração, execute:

    sudo service ssh reload
    • 109

  3. Haverá pistas sobre /var/log/auth.logpor que o SSH (ou PAM) está rejeitando a tentativa de login. Pistas adicionais podem ser encontradas usando a -vopção com o cliente ssh . Várias situações comuns, algumas mencionadas nas outras respostas:

    • a conta de usuário não tem uma senha ou está desabilitada (consulte man passwd, tente redefinir a senha ou verificar o conteúdo de /etc/shadow).
    • /etc/ssh/sshd_configestá configurado para desabilitar o login ( DenyUsers, AllowUsers, PasswordAuthentication, PubkeyAuthentication, UsePAMetc, veja man sshd_config).
    • o shell do usuário não está listado em /etc/shells.
    • vários problemas de permissão em diretórios ou arquivos relacionados à operação SSH: /etc/ssh, /home/jim/.ssh, /home/jim/.ssh/*, etc.

    Eu também recomendo usar adduser (em vez de useradd ) para adicionar novos usuários; é um pouco mais amigável sobre várias configurações de conta padrão.

    Contanto que o usuário não faça parte do admingrupo, ele não poderá sudo para fazer o root. Para que eles usem su , você precisará definir uma senha de root ( passwd root), após o que eu recomendo configurar PermitRootLogin=noem /etc/ssh/sshd_config.

    • 14

  4. Posso estar errado, mas sempre tenho que instalar o daemon do servidor antes de poder conectar (pelo menos na área de trabalho) o ssh é instalado por padrão, mas é apenas o cliente

    este comando instala o servidor

    sudo apt-get install openssh-server

    Você pode alterar a porta e parar o login root editando

    /etc/ssh/sshd_config

    Isso requer que você reinicie o serviço.

    sudo service ssh restart

    • 11

  5. Jim não terá acesso SSH até que você defina uma senha. Como root execute:

    grep -i "jim" /etc/shadow | awk -F':' '{ print $2 }'

    Se este comando retornar um "!" personagem então o login está desabilitado para esta conta. A execução passwd jimcomo root solicitará uma string de senha nova e confirmada, após a qual o comando grep acima deve retornar uma string com hash representando a senha para jim.

    Certifique-se também de verificar se o jim tem um shell de login, definido por padrão, e um diretório inicial que existe.

    Observe a postagem de lekensteyn para obter informações sobre como modificar as configurações do servidor SSH.

    • 10

  6. No meu caso eu tinha um grupo que tinha permissão de acesso e o usuário não fazia parte dele. Isso resolveu para mim.

    Usando o exemplo acima com o usuário jime assuma o membro do grupo jimcomo único grupo (emita o groupscomando enquanto estiver logado jimpara encontrar grupos dos quais você faz parte). No meu /etc/ssh/sshd_configarquivo eu tinha AllowGroups sshusersentrada e, portanto, precisava adicionar jimao sshusersgrupo. Abaixo está como isso seria feito:

    usermod -a -G sshusers jim

    Substitua seu grupo e usuário conforme apropriado para sua configuração.

    • 5

  7. Pode haver algumas instâncias em que o PasswordAuthenticationestá desabilitado por padrão.

    Por favor, verifique /etc/ssh/sshd_confige certifique-se de que o PasswordAuthenticationatributo está definido como yes.

    • 0

  8. @Lekensteyn Não consigo deixar um comentário na resposta da pergunta porque não tenho a reputação - mas tentei anexar

    AllowUsers existingUser,newUser

    para o meu arquivo /etc/ssh/sshd_config e agora não consigo mais ssh com o meu existingUser ou o newUser.

    • 0

  9. Nota simples:

    A chave pública deve ser escrita dentro deste arquivo:

    /home/newUsername/.ssh/authorized_keys
    • 0

relate perguntas