So schränken Sie die Anmeldung als SSH-Root ein, lassen jedoch einige Ausnahmen zu

In openssh können Sie die Root-Anmeldung einschränken (PermitRootLogin no), aber kann es eine Ausnahme geben?

Da es keine gute Idee ist, sich als root anzumelden, schauen Sie sich die sshd-Manpage an:

PermitRootLogin

Gibt an, ob sich root mit ssh (1) anmelden kann. Das Argument muss "Ja", "Ohne Passwort", "Nur erzwungene Befehle" oder "Nein" sein. Die Standardeinstellung lautet "yes".

Wenn diese Option auf "ohne Passwort" gesetzt ist, ist die Passwortauthentifizierung für root deaktiviert.

Wenn diese Option auf "Nur erzwungene Befehle" gesetzt ist, ist eine Root-Anmeldung mit Authentifizierung mit öffentlichem Schlüssel zulässig, jedoch nur, wenn die Befehlsoption angegeben wurde (dies kann nützlich sein, um Remote-Sicherungen durchzuführen, auch wenn die Root-Anmeldung normalerweise nicht erfolgt dürfen). Alle anderen Authentifizierungsmethoden sind für root deaktiviert.

Wenn diese Option auf "no" gesetzt ist, darf sich root nicht anmelden.

Sie können also die PermitRootLogin without-passwordAuthentifizierung mit privaten / öffentlichen Schlüsseln zulassen, während Sie die Kennwortauthentifizierung nicht zulassen. oder vielleicht PermitRootLogin forced-commands-only, um sich als root anzumelden, aber ohne interaktiven Zugang.

In letzterem Fall müssen Sie die authorized_keysDatei bearbeiten , um anzugeben, welcher Befehl für die Protokollierung vom Benutzer aktiviert wird:

command="rdiff-backup --server" ssh-rsa AAAAB3NzaC1y... (rest of key)

oder noch besser, erlauben Sie nur die Anmeldung als Root mit erzwungenen Befehlen von einer bestimmten IP-Adresse aus:

from="10.1.1.1",command="/home/user/command/to/execute" ssh-rsa AAAAB3NzaC1y... (rest of key)