web-dev-qa-db-fra.com

OpenSSH: comment terminer un bloc de correspondance

J'utilise un bloc Match dans /etc/ssh/sshd_config D'OpenSSH (sur debian) pour restreindre certains utilisateurs à SFTP:

# my stuff
Match group sftponly
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp -u 0002
    ChrootDirectory %h

Comme vous pouvez le voir, j'utilise un commentaire #my stuff Dans les fichiers de configuration personnalisés pour distinguer facilement les configurations par défaut de celles que j'ai faites (et je les mets à la fin des fichiers de configuration).
Maintenant, je voulais ajouter la directive UseDNS no À la configuration (pour accélérer les connexions) mais OpenSSH a dit Directive 'UseDNS' is not allowed within a Match block.

Maintenant, je me demandais s'il y avait une syntaxe comme End Match Pour terminer ces blocs de correspondance?

debianopenssh
55
mreithub

Pour terminer un bloc de correspondance avec openssh 6.5p1 ou supérieur, utilisez la ligne: Match all

Voici un morceau de code, extrait de mon /etc/ssh/sshd_config fichier:

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Match Host 192.168.1.12
    PasswordAuthentication yes
Match all

X11Forwarding yes
X11DisplayOffset 10

Une ligne avec une semelle Match ne fonctionnera pas. (Cela n'a pas fonctionné pour moi, sshd a refusé de commencer)

38
loxaxs

Il semble qu'il n'y ait aucun moyen de mettre fin explicitement aux blocs Match. Depuis la page de manuel sshd_config :

Si tous les critères de la ligne de correspondance sont satisfaits, les mots clés des lignes suivantes remplacent ceux définis dans la section globale du fichier de configuration, jusqu'à une autre ligne de correspondance ou à la fin du fichier .

Les blocs Match doivent donc se trouver à la fin du sshd_config fichier.

45
mreithub

Je pense que nous devrions mentionner la touche Match et Host en même temps.

Host

Limite les déclarations suivantes (jusqu'au mot clé Host ou Match) suivant uniquement aux hôtes qui correspondent à l'un des modèles indiqués après le mot clé.

Match

Limite l'utilisation des déclarations suivantes (jusqu'au mot clé Host ou Match) suivant uniquement lorsque les conditions suivant le mot clé Match sont remplies.

Lire le manuel de man ssh_config, tous les deux Host * et Match all réinitialisera l'ancien bloc de restriction, qu'il s'agisse d'un bloc Match ou d'un bloc Host.

0
Simba