Как запретить пользователю ftp заходить на сервер по ssh?

Question

[Денис Сечин]

Есть сервер ubuntu 16, на нем vsftps и ssh. Созданы два юзера media - для входа по ssh и ftp - для входа по ftp. Но дело в том,что я по ssh могу зайти и от ftp-юзера. Как запретить пользователю ftp заходить по ssh? dev/null в /etc/passwd не помогает, т.е. закрывается и ssh и ftp.

media:x:1000:1000:media,,,:/home/media:/bin/bash
sshd:x:121:65534::/var/run/sshd:/usr/sbin/nologin
ftp:x:1001:1001:,,,:/home/ftp:/dev/null

Answer 1

[pfg21]

в /etc/ssh/sshd_config прописать
DenyUsers или DenyGroups

вырезка из man sshd_config

DenyUsers
This keyword can be followed by a list of user name patterns, separated by spaces. Login is disallowed for user names that match one of the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.

Answer 2

[Степан Крапивин]

прописать в /etc/sshd_config DenyUsers

Answer 3

[Руслан Федосеев]

usermod -s /sbin/nologin ftp
usermod -s /bin/date ftp

Идея в том, чтобы дать шелл, который ничего не делает ;)

Answer 4

[Александр Черных]

добавлю и я 5 копеек.
Завести виртуальных ftp-пользователей (proftpd+mysql), а на системные учетки - или удалить те что используются для фтп сефчас или дать шелл nologin