Разрешить только выбранному адресу подключаться к openssh

scarville

24.12.2022, 19:17

Мне нужно ограничить подключения к серверу openssh только тремя или четырьмя IP-адресами. Я знаю, что могу на компьютерах с CentOS 7 и Oracle Linux использовать оболочки firewalld или TCP. Однако некоторые из серверов в сети не поддерживают firewalld или имеют сборку openssh, не включающую libwrap.so. Им нужно решение ssh.

Я пробовал разные варианты, такие как эти, но пока что либо я полностью заблокирован, либо любой может войти.

Адрес совпадения !10.222.79.74,!10.222.79.75,!172.23.10.22,!10.217.184.58
  Запретить пользователей *@*

Запретить пользователей *@*

Адрес совпадения 10.222.79.74,10.222.79.75,172.23.10.22,10.217.184.58
  Разрешить пользователей *@*

Есть ли способ сделать это?

Хорошо, я официально окружной прокурор.

Я установил уровень журнала для отладки и, посмотрев на самый последний вход в систему, понял, что тестировал один из IP-адресов в разрешенном списке. Я попробовал это с другого клиента, и следующее работает, как и ожидалось.

Хост матча *,!10.222.79.74,!10.222.79.75,!172.23.10.22,!10.217.184.58
  Запретить пользователей *

Приносим извинения за трату вашего времени.

1 + 1

авторизация

ограничения

sborsky

24.12.2022, 19:54

Пробовали ли вы использовать правила `Match` с начальным подстановочным знаком, как описано здесь: https://serverfault.com/a/408396/75874?

Ответить

Рейтинг:1

Server

Tomek

24.12.2022, 19:59

Согласно справочной странице sshd_config (OpenSSH_8.0p1):

Для каждого ключевого слова будет использоваться первое полученное значение.

Так что я думаю, что первый пример выглядит как правильный.

Обратите внимание: у меня сильное ощущение, что это недавно изменилось (использовалось ПОСЛЕДНЕЕ значение), поэтому, пожалуйста, проверьте свои справочные страницы. И (как я только что это проверил) похоже, что он работает не так, как описано, поэтому вам, возможно, придется поэкспериментировать.

0 + 1

dave_thompson_085

25.12.2022, 01:08

Читать в разделе «Совпадение»; первое вхождение в удовлетворенном блоке Match переопределяет (первое) значение (если есть) в глобальном разделе, т. е. перед первым совпадением.

Ответить

Admin

Этот вопрос на других языках:

EN: Allow only selected address to connect to openssh

TH: อนุญาตเฉพาะที่อยู่ที่เลือกเพื่อเชื่อมต่อกับ opensh

RO: Permiteți numai adresei selectate să se conecteze la openssh

RU: Разрешить только выбранному адресу подключаться к openssh

VI: Chỉ cho phép địa chỉ đã chọn kết nối với openssh

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.