SSH 权限详解 - SegmentFault 思否

> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [segmentfault.com](https://segmentfault.com/a/1190000014822400)

之前两篇文章[利用 SSH 代理访问内网资源](https://segmentfault.com/a/1190000010364534)和[使用 SSH 代理在本地开发环境调试各种回调](https://segmentfault.com/a/1190000014811842)两篇文章，介绍了 ssh 的各种代理姿势，SSH 的功能确实强悍。如果用过 ssh 代理功能，就有人要问了，我能否限制用户只允许使用代理功能，而不允许用户登录到我的系统中呢？

当然可以！否则又怎么会称为 SSH（注：SSH 是 Secure Shell 的缩写）呢？连权限都不能保障怎么敢叫`Secure`呢？本篇文章就来详解下 SSH 的花式权限，来点不一样的干货。

**NOTE**: 本文提及的`SSH`，主要指`OpenSSH`的实现和功能，其他`SSH`服务端和客户端可能实现不完全一致，比如`putty`这个客户端使用的配置就和`OpenSSH`不一样。其他`SSH`服务端和客户端请务必参考官方文档。

SSH 的功能概述
=========

先谈谈 SSH 有哪些功能，才能谈到每个功能有哪些权限。SSH 最常见的有三大功能：

*   remote shell：可以说最初的功能了，用的最多最广的也是这个功能，也是绝大多数用户对 ssh 的初步印象
*   proxy：这个功能相对来说可能运维接触的多，也用的多。我的前两篇文章重点介绍这个功能
*   file transfer：`scp`/`sftp`/`rsync`等命令使用 SSH 协议实现文件远程传输，`sshfs`通过 SSH 协议将远程目录挂载到本地，等等。

其次是 SSH 是一个典型的 C/S 应用，服务端运行`sshd`守护进程，监听`TCP/22`端口 (默认情况下)，客户端运行`ssh`程序，远程连接`sshd`应用，使用以上三种功能。

`sshd`使用`/etc/ssh/sshd_config`和`~/.ssh/authorized_keys`(这个文件仅用于做密钥认证的配置，如果和 sshd_config 配置冲突则此文件配置生效。此配置文件可以实现细化到密钥的权限，gitlab 使用此配置实现用户的 ssh 访问控制) 配置文件做服务配置，`ssh`客户端使用`/etc/ssh/ssh_config`(全局配置) 和`~/.ssh/config`(个性配置) 两个配置文件 (windows 10 的 openssh 使用`%USERPROFILE%\.ssh\config`)。默认配置文件几乎不用动，ssh 就帮我们做好了开箱即用的配置。本文不会讲解 ssh 每个配置项的含义，只会根据一些场景讲解对应的权限控制，所有场景都是以默认配置为基准，讲解一些常用的配置，一些不常用的配置项就不提及了。

下面我们将详解每个功能的权限

远程连接的权限限制
=========

```
ssh user@ip

```

最基本的使用方式，直接远程连接到服务器的 shell 上，实现远程控制的需求。

不允许远程登录
-------

只要用户满足以下条件之一，ssh 便会拒绝登录：

*   用户无密码 (由于默认开启了`PermitEmptyPasswords no`选项)
*   用户无合法 shell(注意如果不指定 shell，则默认为`/bin/sh`)
*   明确拒绝使用各种可登录的渠道 (比如`PasswordAuthentication no`, `PubkeyAuthentication no`等等)
*   `/etc/nologin`存在，则除`root`外所有用户均拒绝登录，并打印`/etc/nologin`文件内容作为提示信息

所以通常创建一个低权限账户，只负责运行本地服务的，使用的 useradd 命令大致如下:

```
useradd -r -M -s /bin/false user

```

新用户无密码，并且不是一个合法的 shell，所以根本没法登录

`/bin/false`,`/sbin/nologin`等做 shell 的区别: `/bin/false`只是返回`1`退出码，什么都不输出，所以 ssh 登录的时候显示了一下`motd`信息 (如果有) 就直接退出了。而`/sbin/nologin`会输出一行`This account is currently not available.`，然后再以`1`退出码退出。所以用户如果登录除了会看到那些信息之外，还会看到`/sbin/nologin`的提示信息。使用`/etc/nologin`配置也有类似的效果。如果是其他压根不存在的文件做 shell 配置，那么就会反复提示登录失败。

如果连 motd 信息都不想让用户看到，可以直接创建一个`~/.hushlogin`空文件即可。如果想通过修改配置文件，那么需要同时修改`/etc/sshd_config`(`PrintMotd no`) 和`/etc/pam.d/sshd`(去掉`pam_motd.so`加载)，比较麻烦。

不允许 root 登录
-----------

设置`PermitRootLogin`选项即可。`no`表示彻底拒绝 root 远程登录，想要切换成 root 就只能通过普通用户的`su -`或`sudo -i`切换 root 身份了。`prohibit-password`和`without-password`(Ubuntu 14.04 以后默认) 表示拒绝密码登录，表示只能通过密钥登录了。`forced-commands-only`选项表示只允许密钥认证，但是必须给定`command`，也就是非交互式执行 ssh。

限定 ip 白名单登录
-----------

这个其实办法很多，比如在防火墙控制，在`/etc/hosts.(deny|allow)`控制等，其实在`/etc/sshd_config`也可以控制，方法就是使用`Match address`，比如:

```
Match Address 127.0.0.*
PubkeyAuthentication yes

```

用 sshd 配置本身做 ip 白名单的比较少，但是`Match`配置却是一个非常有用的配置项，它可以实现我们对用户或用户组区别对待，这个我们会在后面再细说。

代理的权限限制
=======

有关代理的使用可以参考我之前写的[利用 SSH 代理访问内网资源](https://segmentfault.com/a/1190000010364534)和[使用 SSH 代理在本地开发环境调试各种回调](https://segmentfault.com/a/1190000014811842)两篇文章。

禁止端口转发
------

```
AllowTcpForwarding no

```

禁止 X11 转发
---------

```
X11Forwarding no

```

x11 转发功能实际应用会非常罕见，作用是将远程的图形数据在本地的 X server 上展示，以实现本地操作远程图形程序的功能。首先是 Linux 服务器大多运行在无图形环境下，本身就没有图形化程序跑在上面，再加上客户机可能多数是 windows，又没有 X 环境，更加限制了这个功能的使用。还有就是 x11 forwarding 性能不是很好，实际使用会发现非常卡，不适合使用那种对响应速度要求比较灵敏的应用程序，比如浏览器，在 x11 forwarding 下运行动图会非常卡。最后就是需要跑图形化程序的服务器多数都安装有桌面环境，配置有 vnc，因此就更没有人愿意使用这个功能了。

限制转发端口
------

如果不希望所有端口都能用于转发请求，可以配置`PermitOpen`参数:

```
PermitOpen host:port
PermitOpen IPv4_addr:port
PermitOpen [IPv6_addr]:port

```

如果允许多个端口用于转发，那么必须一个个配置出来，`any`(默认) 表示所有端口都允许用于转发。

文件传输的权限限制
=========

这个比较繁琐，因为目前常见的通过 ssh 传输文件的有三个命令`scp`,`rsync`,`sftp`。它们的机制不一样，其中`scp`和`rsync`是通过远程非交互式执行命令实现的，而`sftp`是通过 openssh 的 sftp server 实现的。

对于`scp`和`rsync`，只需要限制非交互式命令就可以了，比如

```
ForceCommand /bin/bash

```

或在`~/.ssh/authorized_keys`对应的 rsa public key 前面加上`command="/bin/bash"`(参考 gitlab 的`/var/opt/gitlab/.ssh/authorized_keys`)，效果是等效的。这样就可以实现允许用户远程登录系统，但是`scp`和`rsync`命令失效，同时由于限定死了 command 参数，导致你的非交互式 ssh 命令也无法使用了，比如`ssh user@ip ls /`这一类非交互式 ssh 不起作用了。

但是对于`sftp`的限制则要容易的多，因为`sftp`权限是单独分开的，不和 ssh 命令执行权限混在一起，并且 sftp 也和 ftp 一样，有自带的一些命令实现 (比如 ls, cd, get, put 等等)，如果设置

```
ForceCommand internal-sftp

```

或等效的`~/.ssh/authorized_keys`配置，则表示只允许使用 sftp，不允许 shell 登录。如果配置中去掉`Subsystem sftp /usr/lib/openssh/sftp-server`这一行就可以关闭 sftp 服务

关于 Match
========

经常时候我们需要混合以上各种权限使用。比如某些用户我们开放出来，但是限制它的功能，此时`Match`配置就是我们的好朋友了。

限制某个用户只能使用 TCP 代理
-----------------

```
Match User limited-user
   AllowTcpForwarding yes   # 这个是默认配置，如果没改过的话可以不加
   X11Forwarding no  # 禁止x11 forwarding
   GatewayPorts yes  # 允许ssh -R参数bind所有ip，否则只允许bind 127.0.0.1
   AllowAgentForwarding no
   PasswordAuthentication no     # 不允许密码登录
   PermitOpen localhost:62222   # 只允许打开localhost:62222做端口转发
   ForceCommand echo 'This account can only be used for TCP proxy'

```

以上命令可以根据实际情况调节，比如将 user 的 shell 置为`/sbin/nologin`，这样一来`ForceCommand`其实可以去掉，如果用户登录 shell 就会提示`This account is currently not available.`。

由于用户不能登录 shell，不能使用密码认证，因此想要使用代理，必须使用类似于下面的命令:

```
ssh -R 62222:192.168.1.1:80 -i /path/to/id_rsa -N

```

使用`-i`参数指定私钥文件用于公钥认证，使用`-N`参数表示不执行远程命令，仅仅使用 port forwarding。

**NOTE**: `sshuttle`的原理是使用 ssh command 在远程执行 python 命令，转发请求，因此以上的配置由于不能执行 command，所以`sshuttle`就不能用了。

sftp only
---------

```
Match Group sftp-only
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/sftp
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no

```

这里我们 Match 了`sftp-only`这个组，在这个组下面的用户都使用下面的配置。使用了 ForceCommand，因此不能登录 shell，使用了`ChrootDirectory` 限制了用户的根目录，关闭了各种转发功能。

root 用户不允许外网访问，但是内网可以
---------------------

```
PermitRootLogin no
Match Address 192.168.1.0/24
  PermitRootLogin yes

```

通过`Match`的组合，我们可以很方便的限制一些特定用户的权限，这样就实现了 ssh 用户的一些特殊化管理。

结语
==

这里只是按照一些可能遇到的场景讲解了下`sshd_config`的配置，对于等效的`~/.ssh/authorized_keys`配置同样适用。其实 ssh 还有很多强大的功能，但是用的可能比较少，这里就不详细讲解那些不太常见的参数了，有兴趣的读者可以自行查阅 man 手册获取更多资料：

*   [sshd(8)](https://link.segmentfault.com/?enc=dRkdtRvH1Aj4npL9WZxLcQ%3D%3D.MdWhjvIOiZt6cAgShcN0hM1pdluQXF1oy6SCHwlbDPuWzk8TKqm3n1SMo0vrZ4ix)) (关于`~/.ssh/authorized_keys`的帮助这里有详解)
*   [sshd_config(5)](https://link.segmentfault.com/?enc=0%2B7X9J4TUJ22kzg6GqgAow%3D%3D.P%2BnKBqPeilL17t%2Fty8twFq8vtX%2F1FI4FB2Qcko4Hv2gH%2BpkvNcu5ayUqtL%2FuRd2%2FOTygJOiV%2FmgYT31Rk%2FItWA%3D%3D))
*   [ssh_config(5)](https://link.segmentfault.com/?enc=4P960ise0%2BdA3Gg49Vf1ZA%3D%3D.F6edB0k01XlswDTIgfi%2BwK4d89kMSTmlQNcx4Ht7SH4FRRq5Wv0Toj6Yx9WYtbjZ)