Třeba se bude někomu hodit:

V /etc/config/sshd mám nastaveno, že SSH připojení přes root usera je zakázáno (security paranoia :)) .

option PermitRootLogin no

Když se chci připojit pomocí SSH na Turris, mám tam non-priviledged, normálního uživatele, který ale může spouštět (priviledged) příkazy přes sudo (po zadání hesla roota).

Občas by se ale ten root hodil, třeba z lokální, domácí sítě by to mělo být relativně bezpečné. Navíc, Ansible playbook, který používám pro konfiguraci celého routeru je jednodušší provozovat pod rootem (i když je tam možnost non-priviledged usera a sudo).

Jedna možnost jak povolit roota za určitých podmínek je PAM, ale openssh v Turrisu není zkompilováno s podporou PAM.
Druhá možnost je přímo v konfiguraci sshd, pomocí "Match" klauzule.
To je podmíněná konfigurace, kdy se na základě nějaké podmínky může změnit určitá konfigurační hodnota.

Třeba pro připojení z 192.168.1.* bude platit option PermitRootLogin yes.
V případě OpenWRT a Turrisu, taková konfigurce v /etc/config/sshd vypadá takto:


package openssh

config openssh
    ...
    option PermitRootLogin no
    ...

config match
    option type Address
    option match 192.168.1.*,127.0.0.1
    option PermitRootLogin yes


Není to žádný zázrak, na použití "Match" jsou dokonce v /etc/config/sshd dva příklady (zakomentované), jenže já jsem si ten konfigurační soubor proaktivně promazal, aby tam nebylo, co nepotřebuji, no a když jsem toto včera řešil, jak ten "Match" v OpenWRT nakonfigurovat, oklikou jsem to zase našel, zkoumáním /etc/init.d/sshd.