Для тестирования я добавил эти четыре строки в свой /etc/hosts.deny файл:
# /etc/hosts.deny
ssh-agent:ALL
sshd:ALL
Я подождал некоторое время, а затем попытался получить ssh-доступ к IP-адресу обратной петли. Но я все еще получаю это:
$ ssh root@localhost
Password: ▊
И я могу получить к нему доступ. Я даже пробовал добавлять записи, явно запрещающие доступ из 127.0.0.1.
Tcpwrappers (который использует записи в hosts.deny) был удален из OS X 10.8 (Mountain Lion), поэтому sshd больше не обращает внимания на то, что находится в этом файле. Вместо этого вы можете использовать Packet Filter или установить libwrap через MacPorts и перекомпилировать sshd.
Бегать "человек pfctl"чтобы получить подробную информацию о том, как контролировать и настраивать правила.
Есть хорошая статья о том, как использовать pfctl Вот: Шпаргалка по использованию pf в OS X Lion и выше