问题是:我们如何只允许来自其域的特定用户或以适当的方式(SSH/SFTP)使用我们的域?例如
[email protected] coming from customersIPaddress is Denied
and
[email protected] coming from randomIPaddress is not allowed
and
[email protected] is not allowed
在 Centos 7 中,我们的 sshd_config 有以下附加配置:
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowGroups sftpgroup
Match All
PermitRootLogin no
sftpgroup 是我们的一组客户,拥有自己的根目录。但不幸的是,上述配置允许我们客户的“员工”从未知的 IP 地址登录,并且还允许他们使用我们的其他域之一登录。
我尝试了这个,外部用户/组停止工作:
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowUsers [email protected]
AllowGroups sftponly
Match All
PermitRootLogin no
注意:bob 和 trev 是我们的员工,只能从内部访问(他们不在 sftpgroup 中)
答案1
您可以回滚您的sshd_config更改并简单地使用/etc/hosts.allow.在你的发行版上它可能是/etc/hosts.allow和/etc/hosts.deny。
例如,对于 FreeBSD,您可以使用:
sshd : <ip of allowed> : allow
sshd : <another ip> : allow
sshd : ALL : deny
deny请务必在最后添加规则!