Multiuser System. Nicht alle dürfen auf alle Verzeichnisse zugreifen. Nicht alle drüfen sich vom WAN einloggen, nur vom LAN.
Geschütze Verzeichnisse nur durch eine besondere Gruppe 'intern' les- und schreibbar machen. Alle anderen haben kein Zugriff.
chmod -R 770 chgrp -R intern
Diesen Usern Gruppe 'intern' als Standardgruppe zuordnen
usermod -g intern user1
Und dafür sorgen, dass das Gruppenschreibrecht default aktiviert ist
umask 0002
In sshd_config nun User dieser Gruppe beschränkten Zugriff einstellen
Match Group intern
AllowUsers *@192.168.0.0/24 specialuser1
Dabei 'specialuser1' in der Gruppe 'intern' erlauben vom WAN zu connecten.
Alternative:
Alle user die kein ssh login haben sollen in eine spezielle Gruppe packen und allow list separat anbegen:
#The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.
AllowUsers kater
DenyGroups nossh