openssh( 1:7.2p2-4ubuntu2.6ubuntu 16.04) インストールを考慮すると、一緒に作業したいグループが複数あることがわかりました。私がグループを設定する方法は実際には次のとおりです。
- フォワードポート
- ローカルポートにのみ転送
- 上記から複数のリモートポートを追加します。
- 「すべての」ポート転送
- 使用する権利
- SFTPのみ(
ForceCommand internal-sftpルート指定など) - SFTPのみ、ルートが変更されない
- フルシェルアクセス
- SFTPのみ(
それぞれpf1、pf2およびというグループをpf3使用します。acc1acc2acc3
マニュアルページの表現方法
条件を満たす複数の一致ブロックにキーワードが表示される場合、そのキーワードの最初のインスタンスのみが適用されます。
動作するように聞こえる唯一のこと
Match Group pf1,acc1
PermitOpen localhost:1234 localhost:2345
ForceCommand internal-sftp
ChrootDirectory /somepath
Match Group pf1,acc2
PermitOpen localhost:1234 localhost:2345
ForceCommand internal-sftp
Match Group pf1,acc3
PermitOpen localhost:1234 localhost:2345
Match Group pf2,acc1
PermitOpen localhost:1234 localhost:2345 remote1:1234 remote2:2345
ForceCommand internal-sftp
ChrootDirectory /somepath
Match Group pf2,acc2
PermitOpen localhost:1234 localhost:2345 remote1:1234 remote2:2345
ForceCommand internal-sftp
Match Group pf1,acc3
PermitOpen localhost:1234 localhost:2345 remote1:1234 remote2:2345
Match Group pf3,acc1
#PermitOpen any
ForceCommand internal-sftp
ChrootDirectory /somepath
Match Group pf2,acc2
#PermitOpen any
ForceCommand internal-sftp
Match Group pf1,acc3
#PermitOpen any
1つのセットなどをデフォルト値に設定することで数行を節約できますが、PermitOpenそれでも異なる種類の制約を持つ2つのセットのすべての可能な組み合わせを繰り返す必要はありません。その他特別な事情がある場合(これら 3 人のユーザー特別な要件があります。次に、異なるグループの数を掛ける必要があります...
構成はこれを許可していないようですが、何か抜けましたか?それとも実際にはリテラルと列挙型ですか?
最終的に私はより多くの追加の方法を実行することができる何かを使用したいと思います。
Match Group pf1
PermitOpen localhost:1234 localhost:2345
Match Group pf2
PermitOpen localhost:1234 localhost:2345 remote1:1234 remote2:2345
Match Group pf3
#PermitOpen any
Match Group acc1
ForceCommand internal-sftp
ChrootDirectory /somepath
Match Group acc2
ForceCommand internal-sftp
Match Group acc3
# not needed
読みやすさと構成の容易さのため。
バックグラウンド検索:
- これメーリングリスト過去数年間の検索結果はあまり出ていません。検索パラメータを拡張する必要があるかもしれません(これは1つの検索セットにすぎません)。
- あまり関連性がありません:SSHDの「一致グループ」から除外するには?
- 私はDropbearがこのレベルの正確な制御をサポートしていないと思います。