2018年1月25日 星期四

限制root從某些IP才能用ssh登入

限制使用者用ssh從某些IP最簡單的方式為TCP wrapper(修改/etc/hosts.allow),但若只是要限制root從某些IP才能夠登入,就無法使用TCP wrapper的方式

要達成此目的,只要設定 /etc/ssh/sshd_config 成下方的樣子:
PermitRootLogin no
Match Address 140.112.1.1,140.113.1.*,140.114.*.*
    PermitRootLogin yes

上面這個設定注意幾個點:
  1. PermitRootLogin no 一定要放在Match區塊的前面
    • Root無法用任何IP登入,除了下面開放的區域
  2. 可以限制一個IP,也可以限制一個網域,上面的例子是
    • Root可以從 140.112.1.1 這個IP登入
    • Root可以從 140.113.1.* 這個網域登入
    • Root可以從 140.114.*.* 這個網域登入

參考資料

_EOF_

沒有留言:

張貼留言