我试图修改/etc/ssh/sshd_config与我的两个专用debian7服务器AllowUsers和AllowGroups。但是我似乎无法让两者一起工作。

设置

• 有一个叫的用户testuser。

• 该用户在一个名为的组中ssh-users：

  $ groups testuser
  testuser : testuser ssh-users
  

• testuser正在尝试通过ssh testuser@<server_ip>并输入他们的密码进行连接。

• 我的信息sshd_config可以在这里找到：http : //pastebin.com/iZvVDFKL-我认为基本上我对默认设置所做的唯一更改是：
  • 设置 PermitRootLogin no
  • 并添加两个用户AllowUsers（我的服务器上的实际用户名不同）
• service ssh restart修改后每次运行sshd_config。

问题

• testuser 设置为时可以连接AllowUsers：

  AllowUsers user1 user2 testuser
  

• testuser可以不设置连接时，AllowGroups其组：

  AllowUsers user1 user2
  AllowGroups ssh-users
  

  其结果在Permission denied, please try again.当testuser在SSH密码提示输入他们的密码。

问题

• 是否AllowUsers覆盖AllowGroups？
• 在不手动将用户名添加到的情况下解决此问题的最佳方法是AllowUsers什么？理想情况下，我希望以后可以仅将用户添加到ssh-users组中，而无需sshd_config再次触摸。

是的，AllowUsers优先于AllowGroups。如果指定，则只有匹配指定模式的用户才能AllowUsers连接到SSHD实例。

根据sshd_config 手册页：

的允许/拒绝的指令在下列顺序处理： DenyUsers，AllowUsers，DenyGroups，和最后AllowGroups。

因此，解决问题的方法可能是使用一个或另一个，如果组是您管理用户的首选方式，则可能使用组访问指令。

杰夫的回答涵盖详见问题的细节，但我发现这个问题，希望使用AllowUsers和AllowGroups略有不同的场景。我想将传入连接限制为来自特定子网的组（ssh）中的用户。

sshd_config中的连接规则是一个过滤器-当应用每个附加规则时，只能减少可接受用户的数量。PATTERNS在ssh_config中（5）说明的那些规则的形式。

此外，根据以下AllowUsers部分sshd_config：

如果该模式采用USER @ HOST的形式，则分别检查USER和HOST，将登录名限制为来自特定主机的特定用户。主机标准可能还包含以CIDR地址/掩码格式匹配的地址。

AllowGroups 不接受USER @ HOST表单。

因此，要接受用户1）ssh组中的用户和2）来自特定子网/主机的用户：

AllowUsers *@192.168.1.0/24 *@*.example.com *@1.2.3.4
AllowGroups ssh

这是我们发现有效的解决方案：

AllowUsers user1 user2
Match group ssh-users
    AllowUsers *