Как разрешить аутентификацию паролей SSH только с определенных IP-адресов?

81

Я хотел бы разрешить аутентификацию паролей SSH только из определенной подсети. Я вижу вариант запретить его глобально в /etc/ssh/sshd_config :

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

Есть ли способ применить эту конфигурацию к диапазону выбора IP-адресов?

    
задан ændrük 05.02.2012 в 18:25
источник

2 ответа

108

Использовать блок Match в конце /etc/ssh/sshd_config :

# Global settings
…
PasswordAuthentication no
…

# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
    PasswordAuthentication yes

Затем сообщите службе sshd, чтобы перезагрузить его конфигурацию:

service ssh reload
    
ответ дан Gilles 05.02.2012 в 18:42
источник
5

вы можете добавить:

AllowUsers [email protected]*.*, [email protected]*.*

это изменяет поведение по умолчанию, действительно отрицает всех других пользователей со всех хостов. Блок соответствия доступен на OpenSsh версии 5.1 и выше.

    
ответ дан glooch 21.10.2013 в 10:51