Авгий - Частичный контроль Sshd-конфигурация - Match записи

Question

В конфигурационном файле/и т.д./SSH/sshd_config Я хочу, чтобы определить записи PasswordAuthentication для нескольких конкретных пользователей (или группы), такие как:

Match Group xyz_admin, xyz_support 
    PasswordAuthentication no 
Match User yvonne,yvette 
    PasswordAuthentication yes 

Я не «т хочет мешать или иметь какой-либо контроль над аналогичными, но не связанными между собой записями, которые могут или не могут присутствовать как:

Match User xavier 
    X11Forwarding yes 
Match Group alice 
    AllowTcpForwarding yes 

следующих Авгиями выражения создания записи, мне нужно, но может повредить существующие записи конфигурации.

set /files/etc/ssh/sshd_config/Match[1]/Condition/Group "xyz_admin,xyz_support" 
set /files/etc/ssh/sshd_config/Match[1]/Settings/PasswordAuthentication "no" 
set /files/etc/ssh/sshd_config/Match[2]/Condition/User "yvonne,yvette" 
set /files/etc/ssh/sshd_config/Match[2]/Settings/PasswordAuthentication "yes" 

Любая идея, как я могу сделать эти выражения более конкретно так они избегают баловаться с любыми существующими и несвязанных записей «Match»?

Answer 1

Вы можете использовать подносы Condition/* для фильтрации узлов Match.

Например, вы можете увидеть, как это делается в puppet sshd_config provider (в Ruby). Обратите внимание, что все ключи в sshd_config не зависят от регистра, поэтому вам нужно использовать регулярные выражения, чтобы они соответствовали им независимо от их случая.