Linux

在 OpenSSH 4.x 中將 SSH 根登錄限制為僅“安全”網路

  • September 14, 2012

我們希望將rootSSH 登錄限制在我們認為“安全”的少數網路(VPN 等),而不對其他帳戶施加相同的條件。

在 OpenSSH 5.x 中,我們可以使用該match塊。但是,這不是 OpenSSH 4.x 中的一個選項,這是我們在 RHEL5 中的限制。

我在想也許這可以使用 PAM 來完成。有人知道嗎?

在找到這篇Cyber​​citi.biz 文章後,我開始研究pam_access。這是我正在解決的解決方案:

首先,我在/etc/security/sshd.conf. 我選擇這樣做而不是使用預設值/etc/security/access.conf,因為我想要一個專用於sshd. 該文件如下所示:

# cat /etc/security/sshd.conf
+:root:192.168.0.0/8
-:root:ALL

查看man access.conf有關語法的更多資訊。

然後,我在 PAM 堆棧頂部添加了以下行/etc/pam.d/sshd

auth       required     pam_access.so accessfile=/etc/security/sshd.conf

我使用auth而不是account在 Cyber​​citi.biz 文章中使用的原因是因為使用accounttype 允許使用者驗證密碼然後被拒絕。我寧願不驗證密碼。查看man pam.conf更多資訊。

這非常有效。

引用自:https://serverfault.com/questions/360174