Я хочу отобразить баннер (приветственное сообщение) для пользователей SSH с определенным приветственным сообщением для каждого пользователя.
17
Вы не указали, каким SSH-сервером вы пользуетесь. Я предполагаю, что OpenSSH.
Обратите внимание, что баннер SSH и MOTD - это две разные вещи.
Хотя они почти неразличимы в терминале SSH, они ведут себя по-разному, например, в клиенте SFTP.
MOTD - это просто текст, напечатанный на интерактивном терминале. Таким образом, он не будет (и не может быть) отправлен, например, клиентам SFTP (подробнее об этом позже).
MOTD жестко запрограммирован /etc/motdв OpenSSH. Вы можете включить / выключить его только глобально, используя PrintMotdдирективу.
Однако в некоторых системах Linux PrintMotdвсегда выключен, и вместо этого MOTD печатается в стеке PAM (с использованием pam_motdмодуля). В этом случае вы можете отключить его с помощью /etc/pam.d/sshdили указать пользовательский motd=путь в качестве параметра модуля.
Баннер SSH - это специальная функция SSH 2.0, отправляемая в определенном пакете SSH (SSH2_MSG_USERAUTH_BANNER).
Таким образом, даже нетерминальные клиенты, такие как SFTP-клиенты, могут обрабатывать его и отображать для пользователя. Посмотрите, как баннер отображается в WinSCP SFTP / SCP клиенте, например.
SSH баннер настраивается для каждого пользователя (или группы или по другим критериям) в с sshd_configиспользованием Bannerи в Matchдирективах :
Match User username1
Banner /etc/banner_user1
Match User username2
Banner /etc/banner_user2
См. Также Отключить баннер ssh для определенных пользователей или ips .
Конечно, вы также можете использовать пользовательскую реализацию для сообщения / баннера. Просто распечатайте сообщение, выбранное с помощью вашей собственной логики из сценария глобального профиля.
Как и в случае с MOTD, это не будет работать для неинтерактивных сеансов (SFTP и т. Д.).
Что еще более важно, не только это не будет работать, вы должны убедиться, что вы печатаете сообщение только для интерактивного терминала. Что OpenSSH делает автоматически для /etc/motd. Либо используйте сценарий глобального профиля, который выполняется только для интерактивного терминала, либо напечатайте сообщение условно на основании значения TERMпеременной среды.
Если вы распечатываете сообщение для неинтерактивного сеанса, вы нарушаете работу любого клиента, использующего строгий протокол, такого как SFTP или SCP, поскольку клиент попытается интерпретировать ваше текстовое сообщение как сообщение протокола, что приведет к сбою.
См., Например, описание такой проблемы в документации клиента WinSCP SFTP / SCP .
(Я автор WinSCP)
groups|awk '{print $1}'cat /etc/motd.$ndomPGROUP} перед добавлением этой строки я создаю файл баннера для каждого пользователя в каталоге / etc. и файл как motd.root и motd.alex, и это работает для меня.Вы также можете использовать
"$HOME/.ssh/rc"файл для архива, что вы хотите сделатьТаким образом, вы можете иметь один ssh rc для каждого пользователя.
источник