在 OpenSSH 4.x 中將 SSH 根登錄限制為僅“安全”網路

我們希望將rootSSH 登錄限制在我們認為“安全”的少數網路（VPN 等），而不對其他帳戶施加相同的條件。

在 OpenSSH 5.x 中，我們可以使用該match塊。但是，這不是 OpenSSH 4.x 中的一個選項，這是我們在 RHEL5 中的限制。

我在想也許這可以使用 PAM 來完成。有人知道嗎？

在找到這篇Cyber​​citi.biz 文章後，我開始研究pam_access。這是我正在解決的解決方案：

首先，我在/etc/security/sshd.conf. 我選擇這樣做而不是使用預設值/etc/security/access.conf，因為我想要一個專用於sshd. 該文件如下所示：

# cat /etc/security/sshd.conf
+:root:192.168.0.0/8
-:root:ALL

查看man access.conf有關語法的更多資訊。

然後，我在 PAM 堆棧頂部添加了以下行/etc/pam.d/sshd：

auth       required     pam_access.so accessfile=/etc/security/sshd.conf

我使用auth而不是account在 Cyber​​citi.biz 文章中使用的原因是因為使用accounttype 允許使用者驗證密碼然後被拒絕。我寧願不驗證密碼。查看man pam.conf更多資訊。

這非常有效。

引用自：https://serverfault.com/questions/360174