Задать вопрос
KorP
@KorP
Кратко о себе

Запретить некоторым пользователям ssh из внешней сети

Господа, хел плиз mac sshd почитал, но или плохо читал или нет там этого.
Задача — некоторым пользователям запретить логинится по ssh с определённого интерфейса (из внешней сети, только из локальных подсетей). Как бы это лучше сделать?
  • Вопрос задан
  • 5161 просмотр
Подписаться 2 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 5
@Next_Alex
ну можно попробовать повозиться с DenyUsers в sshd_config:
DenyUsers
This keyword can be followed by a list of user name patterns, separated by spaces. Login is disallowed for user names that match one of the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups. See PATTERNS in ssh_config(5) for more information on patterns.
Ответ написан
Maxim_ka
@Maxim_ka
Системный инженер
Можно попробовать двумя способами, первый способо используя файлы hosts.allow/hosts.deny, второй способ используя iptables.
В файле hosts.allow необходимо указать разрешенные, например:
sshd: x.x.x.x/y.y.y.y: allow
x.x.x.x — ip
y.y.y.y — маска
а в hosts.deny:
sshd: ALL: deny
Ответ написан
@GOLDEN_key
Элементарно, Ватсон!

man sshd_config

на предмет

AllowUsers

This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for user names that match one of the patterns. ‘*’ and ‘?’ can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts.

то есть

AllowUsers vasya petya lena@host.local.net
Ответ написан
@ModgaheaD
ОС не указана…
В FreeBSD это можно решить в login.conf
Ответ написан
ob1
@ob1
Наверное стоит запустить два сервера SSH, и настроить один для локальной сети, второй для внешней. Внешний SSH запустить на другом порту, а на роутере (или в сетевом экране) настроить трансляцию с внешнего интерфейса с 22 порта.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы