Jika penyerang mendapatkan login root ke sistem Anda, dia dapat melakukan lebih banyak kerusakan daripada jika dia mendapatkan login pengguna normal. Kami telah melihat dari artikel kami sebelumnya – Cara menonaktifkan login jarak jauh untuk pengguna root di mesin Linux. Sekarang kita akan melihat jika kita memiliki sekitar 10 akun pengguna yang dibuat di server Linux (untuk aktivitas grup yang berbeda seperti HR, Keuangan, dll.), Kita tidak perlu mengizinkan login jarak jauh ke semua 10 akun tersebut. Dalam tutorial ini, kita akan melihat bagaimana mengizinkan atau menolak akun pengguna tertentu untuk melakukan login jarak jauh ke server Linux.
SSH memberikan 4 arahan berikut untuk mengizinkan atau menolak mengakses server. Secara default memungkinkan semua grup dan Pengguna.
- AllowGroups
- IzinkanPengguna
- Grup Tolak
- Tolak Pengguna
Catatan:Sebelum mengubah konfigurasi tingkat sistem apa pun, harap lakukan pencadangan yang diperlukan.
Untuk mengizinkan dua pengguna tertentu bernama Amy dan henry login dari jarak jauh ke server, tambahkan baris di bawah ini ke dalam file /etc/ssh/sshd_config menggunakan editor favorit Anda (VIM adalah editor favorit saya).
AllowUsers admin amy
Lebih lanjut untuk mengontrol dengan mudah untuk masa depan, Anda dapat menambahkan beberapa pengguna ke dalam satu grup dan mengizinkan pengguna berdasarkan grup tempat mereka berada. Misalnya:pertimbangkan henry dan amy bekerja sama di departemen keuangan. Buat nama grup umum yang disebut keuangan seperti yang ditunjukkan di bawah ini :
groupadd –r finance
Sekarang buat pengguna henry dan amy milik grup keuangan seperti yang ditunjukkan di bawah ini :
useradd -G finance henry
useradd -G finance amy
Untuk mengizinkan pengguna yang termasuk dalam grup tertentu yang disebut keuangan untuk login ke server dari jarak jauh, tambahkan baris di bawah ini ke dalam file /etc/ssh/sshd_config.
AllowGroups finance
Dengan ini kita tidak perlu menggunakan AllowUsers .
Arahan alternatif lainnya adalah DenyGroups dan DenyUsers yang melakukan kebalikan dari AllowGroups yang disebutkan di atas dan IzinkanPengguna masing-masing.
Untuk memverifikasi pembaruan file konfigurasi yang tepat, tanpa memulai ulang layanan sshd, jalankan perintah di bawah ini:
[root@catest ~]# /usr/sbin/sshd -t [root@catest ~]# echo $? 0 [root@catest ~]#
Jika bergema $? keluaran perintah 0 maka verifikasi berhasil, jika tidak, Anda akan melihat kesalahan yang menyatakan apa data yang salah itu :
[root@catest ~]# /usr/sbin/sshd -t /etc/ssh/sshd_config: line 116: Bad configuration option: AllowUser /etc/ssh/sshd_config: terminating, 1 bad configuration options [root@catest ~]#
Setelah verifikasi jangan lupa restart sshd seperti gambar dibawah ini :
[root@catest ~]# /etc/init.d/sshd restart