Eu preciso limitar o acesso de um usuário para que ele possa fazer o login somente a partir de um IP específico. Qualquer tentativa de efetuar login de um local diferente deve falhar. Como posso fazer isso?
Adicione uma entrada AllowUsers <user>@<ip> ao seu /etc/ssh/sshd_config
If the pattern takes the form
USER@HOSTthenUSERandHOSTare separately checked, restricting logins to particular users from particular hosts.
De link
Isso só permitirá que eles efetuem login a partir desse ip específico, bloqueando logins de todos os outros ip's
Como tenho pesquisado como configurar o sshd para este mesmo caso e usar o AllowUsers para este propósito, forçaria-me a listar cada e qualquer outro usuário permitido para efetuar login (e assim fazendo um enorme arquivo de configuração no meu caso), aqui está a maneira como você pode impedir que um único usuário se conecte apenas com os hosts que você quer, mas sem afetar outros usuários.
Em sshd_config , antes de qualquer bloco Match (se você tiver algum):
DenyUsers user1@!thishostmayconnect,!anotherhostwhereitworks,*
O ! significa exceto , por isso está negando user1 exceto de thishostmayconnect e de anotherhostwhereitworks , mas ainda está faltando a negação ativa parte, e esse é o curinga * no final.
Resumindo: negando user1 para todos os hosts , exceto thishostmayconnect e anotherhostwhereitworks .
Dessa forma, todos os outros usuários, exceto user1 , podem fazer login de onde quiserem.
Você pode criar qualquer número de linhas para restringir outros usuários:
DenyUsers user1@!thishostmayconnect,!anotherhostwhereitworks,*
DenyUsers user2@!workstation,*
NOTA: se você tiver configurado UseDNS no , poderá ser necessário digitar o endereço IP em vez do nome do host para que ele funcione.
Informações adicionais: link
Em vez de bloquear a configuração do daemon do servidor SSH, você pode adicionar uma regra de firewall para permitir apenas o SSH de entrada de um endereço IP específico. Com base em outros comentários que você está fazendo, parece que você pode querer que todos os usuários façam login somente a partir de um único endereço IP específico, como algum tipo de caixa de salto.
Você precisaria de uma regra iptables para fazer isso.
Há um risco nessa abordagem, pois sua configuração efetiva é dividida em arquivos executáveis e de configuração separados. Não se esqueça de atualizá-los quando necessário e certifique-se de que todos saibam o que são todas as peças e o que cada peça faz.