我想仅允许从特定子网进行 SSH 密码验证。我看到了全局禁止该操作的选项/etc/ssh/sshd_config
:
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
有没有办法将此配置应用到选定的 IP 地址范围?
答案1
使用Match
块在最后的/etc/ssh/sshd_config
:
# Global settings
…
PasswordAuthentication no
…
# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
PasswordAuthentication yes
然后告诉 sshd 服务重新加载其配置:
service ssh reload
答案2
你可以加:
AllowUsers [email protected].*.*, [email protected].*.*
这会改变默认行为,真正拒绝所有主机的所有其他用户。匹配阻止可用OpenSsh 版本 5.1以上。