Limite de login SSH por interface de origem

Isso não foi testado, mas configurar algo assim no final de sshd_config deve funcionar:

PasswordAuthentication no
PubkeyAuthentication yes
RSAAuthentication yes

Match Address 192.168.1.0/24
  PasswordAuthentication yes

Basicamente, você está permitindo globalmente a autenticação de chave pública, globalmente desautorizando a autenticação de senha e, em seguida, especificamente re - permitindo a autenticação de senha para qualquer pessoa na sub-rede 192.168.1.0/24.

Editar: Você provavelmente já tem as três primeiras linhas em outro lugar na sua configuração. Se você fizer isso, eles não precisam ser adicionados novamente. No entanto, o bloco "Match" deve estar no final do arquivo.

Além disso, a palavra-chave RSAAuthentication é específica do SSH v1, o que você não permite, certo?

Sim, acho que sim. Você pode usar as diretivas AllowUser e MatchUser no arquivo sshd_config para configurar diretivas de configuração por usuário.

Eu acho que você pode fazer isso funcionar configurando o sshd com autenticação PAM e Pubkey, e depois configurar o PAM para permitir apenas o acesso de certas sub-redes. Esse truque funciona porque o sshd não pergunta nada ao PAM sobre autenticação baseada em chave.

Em / etc / ssh / sshd_config (acho que estes são os padrões de qualquer maneira no Ubuntu) algo como:

PubkeyAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes

Em /etc/pam.d/sshd descomente a linha pam_access (acredito que o Ubuntu esteja presente na sequência correta, mas comentei):

account required pam_access.so

No /etc/security/access.conf:

+:ALL:192.168.1.0/24

Nota: Eu não testei isso.