Назад | Перейти на главную страницу

Как разрешить ssh пользователю root только из локальной сети?

Я установил Google-Authenticator на машину CentOS 6.5 и настроил некоторых пользователей для предоставления OTP.

При редактировании /etc/ssh/sshd_config Я видел директиву "PermitRootLogin"который по умолчанию закомментирован.

Я бы хотел установить "PermitRootLogin no"но чтобы по-прежнему иметь возможность подключаться к машине с правами root только из локальной сети.

Это возможно?

Использовать Match параметр конфигурации в /etc/ssh/sshd_config:

# general config
PermitRootLogin no 

# the following overrides the general config when conditions are met. 
Match Address  192.168.0.*
    PermitRootLogin yes

Видеть man sshd_config

В Match address уже упоминался, но вы также можете ограничить пользователей (или группы), которым разрешено входить в систему. Например, чтобы ограничить вход в систему для пользователя itai (откуда угодно) и root (из определенной сети) используйте:

AllowUsers itai root@192.168.0.*

Это предотвращает всех других пользователей (например, apache) от входа через SSH.

См. Также AllowUsers ключевое слово в sshd_config (5) руководство.