sshd: adiciona AllowUsers para a sessão atual, sem editar sshd_config

e então lembre-se de removê-lo

Remova-o imediatamente, para que não haja nada para lembrar, nada para esquecer. Quero dizer:

1. Edite sshd_config, salve as alterações.
2. Reinicie o daemon.
3. Edite imediatamentesshd_config , salve as alterações.
4. Não reinicie o daemon.

Dessa forma, o daemon atualmente em execução (ou seja, recém-iniciado) usa sua configuração temporária, porque é a configuração que ele leu; mas um daemon futuro usará a configuração regular porque o arquivo de configuração já foi editado de volta. A configuração temporária não existe mais, exceto na memória do daemon atualmente em execução, portanto, apenas até a próxima sshdou reinicialização do servidor, exatamente como você deseja.

(1) e (3) podem ser feitos convenientemente de dentro de uma única instância de um editor de texto, sem sair do editor, se você puder fazer (2) de outro console. Se o seu editor de texto fornecer "desfazer", use-o para cancelar o risco de erro ao editar novamente.

Notas:

• sshdfrom OpenSSH relê seu arquivo de configuração quando recebe um sinal de desligamento, SIGHUP, executando-se com o nome e as opções com as quais foi iniciado. Independentemente se sshdo OpenSSH foi iniciado como serviço systemd ou não, esse método deve funcionar.

• Reiniciar (ou mesmo parar) sshd não afeta as conexões existentes .

No FreeBSD, o rcsistema fornece um mecanismo para passar sinalizadores para o sshddaemon, ou seja, para definir a sshd_flagsvariável antes de iniciar/reiniciar sshd. O rcsistema procurará nomes de arquivos /etc/rc.conf.d/sshd/* e obterá todos esses arquivos em qualquer chamada de 'serviço sshd'. Isso torna bastante trivial criar um nome de arquivo exclusivo único no diretório correto, reiniciar o serviço, excluir esse nome de arquivo exclusivo e pronto.

Pelo que sei, reconhecidamente limitado, o Linux carece de um diretório dedicado no qual é possível colocar qualquer número de arquivos com nomes arbitrários com o objetivo de configurar o comportamento de tempo de execução de um daemon específico. Tentei imitar o mecanismo do FreeBSD no (Ubuntu) Linux modificando /etc/default/ssh para procurar e obter arquivos de um local específico ( /etc/default/ssh.tmp.*), mas não tive sucesso. Geralmente nos sistemas Linux que tenho disponíveis, parece que /etc/default/sshnominalmente tem:

# Default settings for openssh-server. This file is sourced by /bin/sh from
# /etc/init.d/ssh.

# Options to pass to sshd
SSHD_OPTS=

Em alguns sistemas, parece que o nome da variável chave aqui é OPTIONS, então verifique seu systemdarquivo de serviço para sshdter certeza.

Dado que o Plano A não funcionou, reduzi minhas expectativas e fui com o Plano B, que é essencialmente o mesmo que modificar o seu, sshd_configexceto que, como por padrão /etc/default/sshnão tem conteúdo, talvez seja um pouco mais seguro anexar as opções de tempo de execução desejadas lá do que é para mexer com seu /etc/ssh/sshd_configarquivo. Além disso, como a sintaxe de /etc/default/sshé a sintaxe do shell, pode-se sentir relativamente seguro de que, ao anexar um valor alterado de SSHD_OPTSqualquer atribuição anterior de SSHD_OPTS, será substituído para a próxima invocação e, em seguida, será restaurado quando /etc/default/ssh.safetyfor renomeado de volta para /etc/default/ssh.

# cat << EOF > test.sh
cp -p /etc/default/ssh /etc/default/ssh.safety
printf 'SSHD_OPTS='\''-o "AllowUsers [email protected]"'\''\n' >> /etc/default/ssh
service sshd restart
mv /etc/default/ssh.safety /etc/default/ssh
EOF

Então partindo de:

# service ssh status
● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2022-12-08 16:36:00 PST; 51s ago
  Process: 43364 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
 Main PID: 43367 (sshd)
    Tasks: 1 (limit: 9830)
   CGroup: /system.slice/ssh.service
           └─43367 /usr/sbin/sshd -D

...snip...

E:

# cat /etc/default/ssh 
# Default settings for openssh-server. This file is sourced by /bin/sh from
# /etc/init.d/ssh.

# Options to pass to sshd
SSHD_OPTS=

Então com:

# cat test.sh
cp -p /etc/default/ssh /etc/default/ssh.safety
printf 'SSHD_OPTS='\''-o "AllowUsers [email protected]"'\''\n' >> /etc/default/ssh
service ssh restart
mv /etc/default/ssh.safety /etc/default/ssh

Pudermos:

# sh test.sh
# service ssh status
● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2022-12-08 16:37:42 PST; 3min 2s ago
  Process: 54918 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
 Main PID: 54923 (sshd)
    Tasks: 1 (limit: 9830)
   CGroup: /system.slice/ssh.service
           └─54923 /usr/sbin/sshd -D -o AllowUsers [email protected]

...snip...

Observe aqui que sshdestá sendo executado com nossas opções de linha de comando de curto prazo desejadas!

Observe também que /etc/default/sshestá de volta ao seu estado inalterado:

# cat /etc/default/ssh 
# Default settings for openssh-server. This file is sourced by /bin/sh from
# /etc/init.d/ssh.

# Options to pass to sshd
SSHD_OPTS=

O que significa que da próxima vez nós:

# service ssh restart

Vamos ver:

# service ssh status
● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2022-12-08 16:43:56 PST; 7s ago
  Process: 44890 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
 Main PID: 44896 (sshd)
    Tasks: 1 (limit: 9830)
   CGroup: /system.slice/ssh.service
           └─44896 /usr/sbin/sshd -D

De volta ao básico, sshdserviço de estoque.

Novamente, este é essencialmente o mesmo truque que modificar, /etc/ssh/sshd_configexceto que, se sshd_configfor corrompido ou excluído (ou mesmo renomeado), você pode ter mais dificuldade em se recuperar disso do que em um /etc/default/ssharquivo semelhante. Como /etc/default/sshestá vazio por padrão, você pode simplesmente, rmna pior das hipóteses, voltar sshda funcionar do jeito que estava antes de começar a tentar fazer truques inteligentes.

Não, você não pode alterar as configurações de um daemon sshd atualmente em execução sem editar o arquivo de configuração. O daemon sshd lê sua configuração na inicialização, portanto, quaisquer alterações feitas no arquivo de configuração só terão efeito quando você reiniciar o daemon.

Escreva seu próprio arquivo Unit mysshd.serviceapontando para um sshd_configarquivo diferente com todas as alterações necessárias e inicie-o. Inclua um Conflicts=sshd.servicepara que o serviço sshd adequado seja interrompido. Apenas um dos dois serviços pode ser executado por vez. Quando o serviço sshd adequado for reiniciado, mysshd será interrompido.

Você também pode adicionar -oopções ao ExecStart=e usar o sshd_configarquivo original, conforme feito abaixo. Eles serão considerados primeiro. (Este exemplo é extraído da saída de systemctl cat sshd. Isso pode diferir em outras distribuições).

cat >/etc/systemd/system/mysshd.service <<\!
[Unit]
Description=my let root in OpenSSH server daemon
Conflicts=sshd.service
[Service]
Type=notify
EnvironmentFile=-/etc/crypto-policies/back-ends/opensshserver.config
EnvironmentFile=-/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D $OPTIONS $CRYPTO_POLICY -o 'AllowUsers [email protected]'
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
!
systemctl daemon-reload
systemctl start mysshd

O elefante na sala é que adicionar um AllowUsers x@ypermite apenas esse usuário e nenhum outro.