Как ограничить доступ по ssh для определенных пользователей?

Question

[Павел]

Всем привет! Есть сервер на debian 9 с двумя сетевыми картами(для локальной сети и для инетовской).
Из локальной сети доступ по ssh должен быть у всех. Но через интернет должены иметь возможность подключаться 1-2 определенных пользователя, а для остальных доступ закрыть.

Как такое организовать? Штатными средствами ssh, я так понимаю, это не сделать.

Comments

[Павел]

Доступ разрешать по имени пользователя.

Answer 1

[Saboteur]

Поднимите два отдельных sshd, указав им различные файлы настроек
/usr/sbin/sshd -f /etc/ssh/sshd_config_local
/usr/sbin/sshd -f /etc/ssh/sshd_config_external

Пропишите в каждом конфиге интерфейс в ListenAddress - при этом можно оба sshd запустить на одном и том же 22 порту, и никто ничего не заподозрит.
А там уже через AllowUsers укажите кому на каком sshd разрешено заходить.

Comments

[Павел]

А можно подробнее как поднять два sshd? ну или статью как это сделать

[Saboteur]

Эм.. Ну это же не так сложно...

Для начала можно поправить оригинальный sshd, указав ему ListenAddress внутренней сети, перезапустить, убедиться что он перестал принимать подключения на внешний интерфейс, затем сделать еще один конфиг и запустить второй sshd вручную команда указана выше.

Ну а по правильному - найти в автозапуске скрипт для вашего sshd (типа /etc/init.d/ssh) и подправить его, чтобы он запускал два sshd с разными конфигами.

Answer 2

[Юрий]

в /etc/ssh/sshd_config можно написать что-то типа:

AllowUsers user1@172.16.1.2?? user1@10.0.0.20 user1@192.168.3.* user2@* user3@172.16.1.* user3@192.168.3.* user3@10.0.0.20 user3@10.0.0.30

Answer 3

[Иван]

Поднимите VPN ...