主页 / ubuntu / 问题 / 1347714
Accepted
Gqqnbig
Asked: 2021-06-24 05:34:25 +0800 CST

有条件地停止交互式和非交互式 ssh 登录并给出错误信息

  • 772

我想防止基于条件逻辑的交互式非交互式ssh 登录。我需要测试用户名并给出错误消息。

使用 sftp(非交互式 ssh)的人也应该接受幸运测试。

我将如何实施?我对系统有完全的控制权。

我尝试使用 sshd ForceCommand,但根据https://stackoverflow.com/a/33714333/746461它不适用于 notty。

我不熟悉 PAM,我怀疑 PAM 是否可以在登录是交互式的情况下输出自定义错误消息。

https://linuxhint.com/understanding_bash_shell_configuration_startup/表示带有选项的非交互式登录 shell--noprofile可以绕过所有 bash 配置文件。这就是为什么我不能在那里写我的逻辑。

20.04

1 个回答

  1. Best Answer

    我想通了。我可以实现一个 PAM 模块来做到这一点。

    将以下内容保存到文件/root/checkConnections.

    #! /bin/bash

limit=$1
c=$(pgrep -xcu $PAM_USER sshd)
if [[ $c -ge "$limit" ]]; then 
    echo "Max $limit ssh connections allowed, but you have $c."
    exit 1
fi

    然后在 /etc/pam.d/sshd 中,添加

    session required pam_exec.so stdout /root/checkConnections 5

    pam_exec.so执行 shell 脚本,stdout向用户终端输出消息。

    当条件失败时,效果是这样的。

    $ ssh localhost
Welcome to Ubuntu 20.04.2 LTS (GNU/Linux 5.4.0-74-generic x86_64)

94 updates can be installed immediately.
0 of these updates are security updates.
To see these additional updates run: apt list --upgradable

Max 5 ssh connections allowed, but you have 5.
/root/checkConnections failed: exit code 1
Last login: Thu Jun 24 12:19:27 2021 from 172.18.33.67
Connection to localhost closed.
    • 2

相关问题