A pergunta é: Como permitimos que usuários específicos recebam seu domínio ou usem nosso domínio de maneira apropriada (SSH / SFTP)? E.G.
[email protected] coming from customersIPaddress is Denied
and
[email protected] coming from randomIPaddress is not allowed
and
[email protected] is not allowed
No Centos 7, nosso sshd_config tem essa configuração adicional:
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowGroups sftpgroup
Match All
PermitRootLogin no
sftpgroup é um grupo de nossos clientes que possuem seus próprios diretórios raiz. mas a configuração acima UNFORTUNATELY Permite que os "funcionários" de nossos clientes efetuem login a partir de endereços IP desconhecidos e também permite que eles usem um de nossos outros domínios para efetuar login.
Eu tentei isso e usuários / grupos externos pararam de trabalhar:
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowUsers [email protected]
AllowGroups sftponly
Match All
PermitRootLogin no
NB: bob e trev são nossos funcionários que acessam somente internamente (eles não estão no grupo sftp)
Você pode reverter as alterações de sshd_config e simplesmente usar /etc/hosts.allow . Na sua distro, pode ser /etc/hosts.allow e /etc/hosts.deny .
Por exemplo, com o FreeBSD você usaria:
sshd : <ip of allowed> : allow
sshd : <another ip> : allow
sshd : ALL : deny
Não deixe de adicionar a regra deny no final!