使用允许组并按 IP 地址进行限制

使用允许组并按 IP 地址进行限制

我正在尝试使用AllowGroups 管理ssh 的访问,并且工作正常。现在我想限制对某些组的访问,仅当它们从特定主机连接时,使用AllowUsers它的工作原理如下[电子邮件受保护]但在AllowGroups 中不起作用。

喜欢:

允许对其员工进行分组[电子邮件受保护]

我曾尝试在内部使用 Match Address 和 AllowGroups,但似乎 Match Block 内不允许使用 AllowGroups。

匹配地址“192.168.0.1”AllowGroups securitystaff

sshd 服务无法启动,我收到消息“匹配块中不允许使用指令AllowGroups。

预先感谢您的任何想法。

答案1

我尝试了很多次,终于找到了让它发挥作用的方法。

第一的,外部任何匹配块都会设置您始终希望允许访问的组:

AllowGroups staff

然后在匹配块内通过 IP 地址/网络限制另一个组的访问:

Match Group group1 Address 10.0.0.0/24
    AllowGroups *

允许组 * 很重要。 AllowUsers * 在这里不起作用。

这导致允许来自任何地方的组工作人员,并且仅允许来自 10.0.0.0/24 的组 group1。享受。

相关内容