将 ssh 限制到本地网络，git 用户除外

您可以使用以下方式控制用户从哪里登录允许群组，允许用户，拒绝群组， 和拒绝用户指令sshd_配置. 它们按以下顺序处理拒绝用户，允许用户，拒绝群组，允许群组。允许用户可以包括主机以及用户名；我认为其他人只允许名字。

假设你的

• LAN 是 192.168.1.0/24
• git 用户名是 git
• 管理员用户名为 alice 和 bob

在 sshd_config 中你会说

AllowUsers [email protected]/24 [email protected]/24 git

或者，你可以使用匹配指令。match 指令允许您根据条件（例如用户连接的地址）改变 sshd 的行为。

在全球部分sshd_配置你将会拥有

AllowUsers git

在文件末尾，你可以使用以下命令覆盖 LAN 中的此项

Match Address 192.168.1.0/24
    AllowUsers alice bob git

您正在寻找pam_access，使用它您可以配置 sshd 以接受来自本地网络的所有用户和来自任何地方的 git 用户的身份验证。

就像是：

+ : ALL : 10. crond :0 tty1 tty2 tty3 tty4 tty5 tty6
+ : git : ALL
- : ALL : ALL

在你的 access.conf 中应该可以解决问题

您可以使用 sshd_config 文件来控制每个用户/主机和网络的访问，除此之外，您还可以使用 iptables 以及 tcpwrappers。除了 iptables 之外，我建议您在这种情况下使用 tcpwrappers 来控制访问。使用 iptables：

使用 iptables 的 -s 选项。它接受格式为 nnn.nnn.nnn.nnn 或带有掩码的 IP（nnn.nnn.nnn.nnn/nnn.nnn.nnn.nnn 或 nnn.nnn.nnn.nnn/nn）。因此，为了允许来自 nnn.nnn.nnn.* 的连接，您可以编写

iptables -A INPUT -s nnn.nnn.nnn.0/255.255.255.0 -i em1 -p tcp --dport XXXXX -m state --state NEW,ESTABLISHED -j ACCEPT

或者

iptables -A INPUT -s nnn.nnn.nnn.0/24 -i em1 -p tcp --dport XXXXX -m state --state

如果您无法创建网络掩码，那么恐怕您必须为要允许连接到服务器的每个 IP 地址重复规则。

使用 tcp 包装器，打开 /etc/hosts.allow 以允许访问：

sshd: 192.168.0.0/255.255.255.0 1.2.3.4

上面它将允许您的 LAN 和单个 WAN IP，在本例中为 1.2.3.4。然后您可以简单地拒绝所有其他主机的访问。

拒绝访问：

在文本编辑器中打开文件 /etc/hosts.deny。此文件列出了不允许访问系统的主机/IP。要拒绝所有人使用 ssh，请执行以下操作：

sshd: ALL

请参阅以下内容TCP Wrapper 的参考请访问 RedHat 网站了解更多详细信息。

我的建议是您应该使用多层安全措施以使您的服务器更加安全，当然您应该对 ssh 使用基于密钥的密码身份验证。

使用 iptables 锁定盒子非常简单.....如果您想要的只是丢弃流量，除了用于 ssh 管理的单个 ip，并且本地 lan 可以达到 tcp/80（用于 http）

iptables -F
iptables -A INPUT -P tcp -p 22 -s [你的 IP 地址]/32 -j ACCEPT
iptables -A INPUT -P tcp -p 80 -s [你的本地网络地址]/[你的本地网络掩码] -j ACCEPT
iptables -A INPUT -j DROP

我不清楚您的内部网络地址/内部网络掩码是什么，但如果内部局域网是/16，并且网络地址是192.168.0.0，则这可能允许非rfc私有ip地址访问端口80（假设此配置位于具有直接传入ip流量的外围设备上）。

你可以也应该有更详细/更具体的 iptables 规则，但作为最低限度，这应该可以工作