Я смог запретить SSH на мой сервер со всех IP-адресов, кроме 1, введя 

sshd: all

в /etc/hosts.deny

а также 

sshd: x.x.x.x

в /etc/hosts.allow (ip скрыт)

но я хочу добавить исключение, которое позволяет root для входа в систему отовсюду. Можно ли сделать такую вещь?

|источник

1 ответ1

0

Я нашел ответ!

Но прежде чем перечислять это, я отвечу на ваши предварительные суждения, молодые ребята:

  1. Я не пытаюсь создать безопасный логин.

  2. я пытаюсь заставить пользователей (кроме root) подключаться к моему устройству через определенный сервер с определенным IP-адресом, который можно назвать JUMP SERVER. Зачем? потому что я отслеживаю историю их команд и знаю, что и когда они входят в систему. почему бы не использовать LDAP/RADIUS? потому что мои серверы работают на переконфигурированной ОС поставщика, которая не поддерживает эту функцию. как я отслеживаю историю пользователей? Я создаю сценарий, который каждый раз, когда кто-то подключается к моим серверам, отправляет мне имя пользователя + время входа и то же самое для выхода из системы.

  3. И вот, короткая версия того, что я пытаюсь сделать. Теперь, пожалуйста, если у вас есть какие-либо вопросы, не стесняйтесь спрашивать.

ответ ниже:

vi /etc/security/access.conf

и добавьте ниже:

+:root:ALL
+:ALL:x.x.x.x
-:ALL:ALL

учитывая, что xxxx - это единственный IP-адрес, с которого вы хотите разрешить всем пользователям входить в систему.

Затем vi /etc/pam.d/sshd и исправьте следующее:

account required pam_access.so
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .