Como posso permitir a autenticação de senha SSH apenas de determinados endereços IP?

84

Gostaria de permitir a autenticação de senha SSH apenas de uma determinada sub-rede. Eu vejo a opção de desautorizar globalmente em /etc/ssh/sshd_config :

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

Existe uma maneira de aplicar essa configuração a um intervalo selecionado de endereços IP?

    
por ændrük 05.02.2012 / 18:25

2 respostas

118

Use um bloco Match no final de /etc/ssh/sshd_config :

# Global settings
…
PasswordAuthentication no
…

# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
    PasswordAuthentication yes

Em seguida, diga ao serviço sshd para recarregar sua configuração:

service ssh reload
    
por Gilles 05.02.2012 / 18:42
6

você pode adicionar:

AllowUsers user1@192.168.*.*, user2@192.168.*.*

isso muda o comportamento padrão, realmente nega todos os outros usuários de todos os hosts. Bloco de partida disponível em OpenSsh versão 5.1 e acima.

    
por glooch 21.10.2013 / 10:51