2

Используя ubuntu 12.04, я хочу использовать sshd_config для ограничения ssh-сессий, идущих от root до фиксированного подмножества IP-адресов. Я хочу, чтобы обычные пользователи могли использовать ssh из любой точки мира, но root должен иметь возможность использовать ssh только из IP-диапазона (моей локальной подсети), а также с одного IP-адреса вне этого диапазона (мой внешний сервер резервного копирования).

Root-доступ через ssh необходим для моего решения для резервного копирования, поэтому использование

PermitRootLogin нет

не решение В то же время я не хочу излишне подвергать опасности мои системы, оставляя root доступным для всех и их матерей.

В настоящее время у меня есть следующее в sshd_config:

AllowUsers *@*
DenyUsers root@*
AllowUsers root@local.subnet.range.*
AllowUsers root@offsite.backup.server.ip

где локальные номера подсетей и резервных копий верны.

Это не работает Любые советы о том, как заставить это работать и почему? Документация по sshd_config не помогла мне понять, как взаимодействуют AllowUsers и DenyUsers.

2 ответа2

5

Попробуйте просто использовать ключ SSH для входа в систему как root (PermitRootLogin without-password). Каждый ключ может быть ограничен определенными адресами источника с помощью from="1.2.3.4,8.9.0.0/24,::1" в авторизованном ключе .

Страница руководства, прямо под "AllowUsers", что говорит:

Директивы allow/deny обрабатываются в следующем порядке: DenyUsers, AllowUsers, DenyGroups и, наконец, AllowGroups.

- поэтому, если запись DenyUsers совпадает, любые другие правила не будут проверяться вообще.

0

В /etc /ssh /sshd_config убедитесь, что в основной части конфигурации установлено следующее

PermitRootLogin no

И добавьте это в конце файла конфигурации. Теперь root может войти только с локальных адресов.

Match Address 192.168.0.*,127.0.0.1
PermitRootLogin yes

Я думаю, что эта функция была выпущена в течение почти двух главных выпусков, так что ... удивительно, что никто не ответил с этим раньше.

Вы можете делать другие вещи после матча, например, включить переадресацию портов и т.д ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .