Vraag Hoe kan ik SSH-wachtwoordverificatie toestaan ​​van alleen bepaalde IP-adressen?


Ik wil SSH-wachtwoordverificatie toestaan ​​van slechts een bepaald subnet. Ik zie de optie om het wereldwijd niet toe te staan /etc/ssh/sshd_config:

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

Is er een manier om deze configuratie toe te passen op een beperkt aantal IP-adressen?


87
2018-02-05 17:25


oorsprong




antwoorden:


Gebruik een Match blok aan het einde van /etc/ssh/sshd_config:

# Global settings
…
PasswordAuthentication no
…

# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
    PasswordAuthentication yes

Laat de sshd-service vervolgens de configuratie opnieuw laden:

service ssh reload

126
2018-02-05 17:42



Ik probeerde dit (in plaats daarvan met 192.168.0.0/16) en toen ik de sshdienst opnieuw begon werd ik buitengesloten. SSH weigerde verbindingen. Enig idee waarom dit zou kunnen zijn? - Michael Waterfall
@MichaelWaterfall Het is onmogelijk om te vertellen met zo weinig informatie. Zorg ervoor dat een shell actief blijft totdat u de nieuwe configuratie hebt gevalideerd. Het herstarten van de ssh-service heeft geen invloed op actieve verbindingen. - Gilles
Het waarschijnlijke probleem is dat je het Match-blok ergens in het midden van je sshd_config plaatst. Overeenkomende regels zijn van invloed op elke volgende regel tot de volgende regel Match, dus ze moeten aan het einde van het bestand staan. - Ken Simon
Ondanks de inspringing in het antwoord, sshd_config is geen Python ;) - Nick T
@frepie Match blok strekt zich uit tot de volgende Match richtlijn of tot het einde van het bestand. Daarom moet je het aan het einde zetten. - Gilles


je kan toevoegen:

AllowUsers user1@192.168.*.*, user2@192.168.*.*

dit wijzigt het standaardgedrag en ontkent echt alle andere gebruikers van alle hosts. Wedstrijdblok beschikbaar op OpenSsh versie 5.1 en hoger.


6
2017-10-21 08:51



bel Ik laat een groep toe in plaats van een enkele gebruiker - Lamar
@Lamar From man sshd_config, het lijkt op AllowGroups werkt hetzelfde als AllowUsers, maar AllowUsers lijkt voor te gaan AllowGroups. - conradkdotcom