52182 2024-11-25 15:56:44 +0300 Переключение между группами контроля доступа OpenSSH блокирует доступ по ssh 2025-12-04 15:10:11 +0300 1 1 4 Development Sisyphus gpupdate unstable x86_64 Linux REOPENED P5 normal --- 1 belayaav greh greh kostevichae kotjuhovma nir sin qa-sisyphus oldest_to_newest 255011 0 belayaav 2024-11-25 15:56:44 +0300 Версии: gpui-0.2.55-alt1 gpupdate-0.11.4-alt1 admx-basealt-0.1.13.6-alt1 Стенды: ALT Education 10.2 XFCE / KDE ALT KWorkstation 10.4 ALT Workstation 10.2 ALT Server 10.2 Шаги воспроизведения: 1. Открыть GPUI, перейти в раздел Компьютер - Административные шаблоны - Система ALT - Службы - SSHD опции Выбрать политику Группы для контроля доступа к серверу OpenSSH, переключить политику в состояние "Включено", выбрать "Режим работы":Только remote и нажать OK 2. Перезагрузить клиентскую систему и зайти на нее по ssh (например рутом) 3. Выбрать режим работы "Все пользователи" и нажать "ОК" 4. Перезагрузить клиентскую систему и зайти на нее по ssh (например рутом) Результат: вход по ssh после 4 шага оказывается блокирован, в логах сервиса sshd: "User root from <IP> not allowed because none of user's groups are listed in AllowGroups." Ожидаемый результат: вход по ssh не блокируется при политике "Все пользователи". Проблема не воспроизводится, если переключиться на политику напрямую. 255013 1 sin 2024-11-25 16:03:43 +0300 Очень странные ожидания. Работает ровно так, как и должно. Смысл предложения: "Проблема не воспроизводится, если переключиться на политику напрямую.", - непонятен. Необходимы пояснения. У нас, вообще, логин по ssh под рутом, по умолчанию, отключен. А так... "Все пользователи" - это члены группы users. Можно рута добавить в нужную группу, при такой политике, например. Можно уточнить в документации, что "Все пользователи" - это члены группы users. 255014 2 belayaav 2024-11-25 16:12:50 +0300 (Ответ для Evgeny Sinelnikov на комментарий #1) > Очень странные ожидания. Работает ровно так, как и должно. > Смысл предложения: "Проблема не воспроизводится, если переключиться на > политику напрямую.", - непонятен. Необходимы пояснения. Т.к. переключение происходит с более строгой политики "remoteonly", при которой у рута не должно быть доступа (но он есть), на менее строгую "users", при которой доступ ожидается (предоставляется доступ группе wheel), вероятно есть проблема с применением политики. > У нас, вообще, логин по ssh под рутом, по умолчанию, отключен. А так... "Все > пользователи" - это члены группы users. Можно рута добавить в нужную группу, > при такой политике, например. > > Можно уточнить в документации, что "Все пользователи" - это члены группы > users. В gpui указано следующее: "Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users»" Т.е. рут уже по умолчанию в группе "Все пользователи". Но доступ ему ограничивается. Также доступ ограничивается и обычному пользователю, который есть в группах users и wheel, ошибка та же. 255022 3 sin 2024-11-25 17:25:10 +0300 Для более точной проверки необходимо указать состояние в каждом из рассматриваемых случаев: # control sshd-allow-groups-list users # grep -R AllowGroup /etc/openssh/sshd_config AllowGroups wheel users Ну, и id root проверить стоит разок: $ id root uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc) 255023 4 belayaav 2024-11-25 17:32:15 +0300 (Ответ для Evgeny Sinelnikov на комментарий #3) > Для более точной проверки необходимо указать состояние в каждом из > рассматриваемых случаев: > > # control sshd-allow-groups-list > users > # grep -R AllowGroup /etc/openssh/sshd_config > AllowGroups wheel users > > Ну, и id root проверить стоит разок: > $ id root > uid=0(root) gid=0(root) > группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc) # id root uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc),434(ruby) # control sshd-allow-groups-list remoteonly # grep -R AllowGroup /etc/openssh/sshd_config AllowGroups remote Рута нет в группе remote, но доступ есть # control sshd-allow-groups-list users # grep -R AllowGroup /etc/openssh/sshd_config AllowGroups wheel users Рут есть в группе wheel, но доступ блокируется. Сами группы выставляются корректно. 265569 5 kostevichae 2025-05-26 10:45:29 +0300 Ошибка актуальна для gpupdate-0.13.2-alt1. Дополнительная информация: 1. Ошибка воспроизводится, когда режим работы изменяется с "Только remote" на любой другой ("Группы wheel и remote", "Только wheel", "Все пользователи") 2. Помогает повторная перезагрузка или systemctl restart sshd - доступ появляется. Вероятно это связано с тем, что gpupdate при загрузке системы выполняется после того, как sshd уже запущен. 278476 6 kotjuhovma 2025-12-04 15:10:11 +0300 Актуально для gpupdate-0.14.0-alt1 Воспроизводится на системах, обновленных до sisyphus: kworkstation-11.1.1-x86-64кзь education-11.0-x86-64-kde education-11.0-x86-64-xfce workstation-11.1-x86-64