Limitare l'accesso SSH per indirizzo IP su Debian

Voglio consentire l'accesso SSH solo da 3 indirizzi IP: 111.111.111.111 e 222.222.222.222 e 333.333.333.333. Lo so, devo modificare i file /etc/hosts.allow e /etc/hosts.deny.

La mia domanda riguarda il contenuto di questi file. Ho visto diverse varianti:

  • accesso ssh tunneling solo
  • OpenSSH non accetta chiavi ECDSA
  • Come posso modificare il messaggio di benvenuto quando ssh inizia?
  • Chiavi SSH: perché è id_rsa più grande di id_rsa.pub?
  • SSH - identificare gli utenti che utilizzano ancora le password
  • Consenti SCP ma non effettivo login utilizzando SSH
  • # /etc/hosts.allow

    Variante 1:

    sshd: 111.111.111 sshd: 222.222.222 sshd: 333.333.333 

    Variante 2:

     sshd: 111.111.111, 222.222.222, 333.333.333 

    Variante 3: (senza virgole):

     sshd: 111.111.111 222.222.222 333.333.333 

    Variante 4 (con sshdfwd-X11):

     sshd,sshdfwd-X11: 111.111.111 222.222.222 333.333.333 

    /etc/hosts.deny

    Variante 1:

     sshd: ALL 

    Variant2:

     sshd,sshdfwd-X11:ALL 

    Quale è il giusto? Temo di bloccarmi. Grazie.

    2 Solutions collect form web for “Limitare l'accesso SSH per indirizzo IP su Debian”

    Lo farei personalmente nel sshd_config utilizzando AllowUsers .

     AllowUsers = *@111.111.111.111, *@222.222.222.222, *@333.333.333.333 

    Per me, che mantiene tutte le configurazioni nel luogo associato all'applicazione che stai controllando. C'è sempre più di un modo per disegnare un gatto con UNIX, ma se lo strumento offre un meccanismo di controllo specifico, preferisco preferire quello sopra qualsiasi altra cosa (di solito più porttile).

    Quando si apportno modifiche a qualsiasi cosa in relazione all'accesso remoto,

    1. avere già più sessioni sul server già
    2. effettuare le modifiche da una schermata o da una session tmux in modo da poter ricollegarla se perdi la connessione
    3. provare e apportre le modifiche da una console non ssh se ansible

    Trovo che finché hai già alcune sessioni remote, sarai bene. Cambiare /etc/ssh/sshd_config e riciclare SSH non disconnette alcuna session esistente.

    Anche se apprezzo che non risponda alla tua domanda specifica. Credo che la risposta di Jeff (in quanto tutte quelle varianti sono valide se si utilizza /etc/hosts.deny o /etc/hosts.allow ).

    In generale, è la mia preferenza implementare le regole come questa usando iptables .

    Per quanto riguarda la variante corretta, tutti dovrebbero funzionare. La pagina dell'uomo pertinente (grazie per aver catturato questo Oliver) dice che l'utilizzo di spazi vuoti o di virgole è accettabile. Inoltre, continua a discutere che qualsiasi match del daemon: client si contano e che i client multipli possono essere elencati in una row e tutte le voci di un demone verranno valutate.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.