Я установил Google-Authenticator на машину CentOS 6.5 и настроил некоторых пользователей для предоставления OTP.
При редактировании /etc/ssh/sshd_config
Я видел директиву "PermitRootLogin
"который по умолчанию закомментирован.
Я бы хотел установить "PermitRootLogin no
"но чтобы по-прежнему иметь возможность подключаться к машине с правами root только из локальной сети.
Это возможно?
Использовать Match
параметр конфигурации в /etc/ssh/sshd_config
:
# general config
PermitRootLogin no
# the following overrides the general config when conditions are met.
Match Address 192.168.0.*
PermitRootLogin yes
Видеть man sshd_config
В Match address
уже упоминался, но вы также можете ограничить пользователей (или группы), которым разрешено входить в систему. Например, чтобы ограничить вход в систему для пользователя itai
(откуда угодно) и root
(из определенной сети) используйте:
AllowUsers itai root@192.168.0.*
Это предотвращает всех других пользователей (например, apache
) от входа через SSH.
См. Также AllowUsers
ключевое слово в sshd_config (5) руководство.