Linux:Разрешить доступ к SSH для root с определенных IP

Поради та підказки щодо софту, роботи в операційних системах, комплектуючих та зборок комп'ютерів.
Аватар користувача
toxi
Администратор
Администратор
Статті: 0
Повідомлень: 532
З нами з: 12-04-2008 07:58:25
Ваша стать: Чоловічий
І'мя: Roman
Контактна інформація:

Linux:Разрешить доступ к SSH для root с определенных IP

Повідомлення toxi »

Цель: разрешить входы root по ssh с определенных IP-адресов и запретить вход в систему root с других IP-адресов.

Чтобы включить вход в систему с правами root в SSH:
В файле /etc/ssh/sshd_config

Код: Виділити все

PermitRootLogin yes
Чтобы отключить вход в систему с правами root в SSH:

Код: Виділити все

PermitRootLogin no
Чтобы включить вход в систему с правами root в SSH только для определенных хостов или IP-адресов, можно использовать ключевое слово Match.
Например: Чтобы разрешить вход в систему с правами root в SSH от foo.example.com, используйте следующую конфигурацию.

Код: Виділити все

# global config
PermitRootLogin no
 
# all other global config here
 
# permit root login
Match Host foo.example.com
    PermitRootLogin yes
Не забудьте добавить Match правила в конец файла sshd_config. Вам нужно будет перезапустить sshd демон, чтобы изменения вступили в силу.

Если вам нужно разрешить вход в систему root с нескольких IP-адресов, вы можете использовать следующий синтаксис.

Код: Виділити все

# global config
PermitRootLogin no
 
# all other global config here
 
# permit root login
Match Address 192.168.10.10,192.168.1.0/24,10.254.0.0/16
    PermitRootLogin yes
Вышеупомянутая конфигурация позволит входить в систему с правами root из сети 192.168.10.10, 192.168.1.0/24 и 10.254.0.0/16.

Если вы хотите разрешить определенному пользователю использовать ssh с определенного IP-адреса, вы можете использовать следующий синтаксис.

Код: Виділити все

# global config
PasswordAuthentication no
PubkeyAuthentication yes
RSAAuthentication yes
 
# all other global config here
 
# permit ssh login for user
Match User ibrahim Address 192.168.10.0/24
    PasswordAuthentication yes
Вышеупомянутое Match правило позволит пользователю ibrahim использовать аутентификацию по паролю из сети 192.168.10.0/24. Из других сетей, пользователю потребуется использовать метод аутентификации с открытым ключом.

С Match блоком можно использовать подмножество ключевых слов. Некоторые из них: AllowTcpForwarding, AuthenticationMethods, Banner, ChrootDirectory, PermitRootLogin, X11Forwarding. Полный список ключевых слов см. на sshd_config странице руководства .
Правила форуму :: Виконую послуги IT-адміністратора (види послуг).