Tôi muốn cho phép xác thực mật khẩu SSH chỉ từ một mạng con nhất định. Tôi thấy tùy chọn không cho phép nó trên toàn cầu trong /etc/ssh/sshd_config:
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
Có cách nào để áp dụng cấu hình này cho một dải địa chỉ IP được chọn không?
Câu trả lời:
Sử dụng một Matchkhối ở phần cuối của /etc/ssh/sshd_config:
# Global settings
…
PasswordAuthentication no
…
# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
PasswordAuthentication yes
Sau đó báo cho dịch vụ sshd tải lại cấu hình của nó:
service ssh reload
sshd_configkhông phải là Python;)
MatchKhối kéo dài cho đến khi có lệnh tiếp theo Matchhoặc cho đến khi kết thúc tệp. Đó là lý do tại sao bạn phải đặt nó ở cuối.
bạn có thể thêm:
AllowUsers user1@192.168.*.*, user2@192.168.*.*
điều này thay đổi hành vi mặc định, thực sự từ chối tất cả người dùng khác từ tất cả các máy chủ. Khối kết hợp có sẵn trên OpenSsh phiên bản 5.1 trở lên.
man sshd_config, có vẻ như AllowGroupshoạt động tương tự AllowUsers, nhưng AllowUsersdường như được ưu tiên hơn AllowGroups.