Od jakiegoś czasu co raz częściej dajemy dostęp do ssh tylko przy użyciu klucza prywatnego. Jest to wygodne, a zarazem bezpieczne. Istnieje do tego przydatna opcja w pliku konfiguracyjnym daemona ssh, mianowicie „PasswordAuthentication”. Osobiście mam tą opcję najczęściej ustawioną na „no”. Niestety czasem pojawiają się użytkownicy, którzy mają móc tylko wrzucać pliki po sftp i to z różnych maszyn/systemów. Okazuje się, że można ustawić domyślną metodę autentykacji oraz dla każdego użytkownika/grupy oddzielną. Przykładowo pozwalamy na autoryzację bez klucza – przy pomocy hasła użytkownikowi gargamel.
Match User gargamel
PasswordAuthentication no
Pamiętajmy, żeby umieścić powyższy wpis na końcu pliku. Nie ma bowiem możliwości zakończenia/zamknięcia bloku specyficznych ustawień per user/grupa.
Inną sytuacją może być domyślne zezwalanie na logowanie bez klucza (po haśle) z wyjątkiem użytkownika admin.
Match User *,!admin
PasswordAuthentication yes
Oczywiście trzeba zrestartować daemona ssh po zapisaniu ustawień w pliku.
systemctl restart sshd