Eu gostaria de restringir logins SSH para uma conta de usuário específica do FreeBSD para um endereço IP específico (são backups rsync automatizados de uma máquina para outra, nenhum usuário real deve estar logando, apenas o processo SSH + rsync ).
Eu sinto que deveria ser capaz de fazer isso usando hosts.allow ou sshd_config ... mas não consigo encontrar nenhum exemplo claro de como fazer isso. Alguém pode me dizer?
Além da opção wrappers ... Eu imagino que esse backup rsync esteja fazendo uso de uma chave ssh. Você pode restringir uma chave a um IP ou domínio de origem específico. Isso seria equivalente a uma restrição de usuário para IP, já que somente esse usuário está usando essa chave (se você é inteligente, o que aparece).
Primeira linha do arquivo authorized_keys:
de="trusted.domain.com", sem encaminhamento de porta, no-pty ssh-rsa AAAABasdf
A partir da página de manual hosts.allow:
CLIENT USERNAME LOOKUP
When the client host supports the RFC 931 protocol or one of its
descendants (TAP, IDENT, RFC 1413) the wrapper programs can retrieve
additional information about the owner of a connection. Client user-
name information, when available, is logged together with the client
host name, and can be used to match patterns like:
daemon_list : ... user_pattern@host_pattern ...
Tags ssh