麒麟V10配置sshd IP白名单登录20240923V1

麒麟V10配置sshd IP白名单登录

麒麟软件有限公司

2024年9月23日

文档变更记录

版本号

变更说明

变更人

日期

备注

V1

李小龙

2024年9月23日

目录

一、 文档概述 1

二、 主要内容 1

1. 标题1 1

2. 标题2 1

三、 附录 1

  1. 文档概述

设置SSH登录IP白名单,过滤非法IP密码登录请求。

当Linux服务器暴露在公网时,不可避免地会受到大量ssh登录请求。

在某些应用场景,登录Linux服务器进行操作的只有若干个固定IP地址,例如某公司有固定IP地址的企业专线,大家的电脑就会通过这些固定IP和公网交互,这时部署在公网的Linux服务器收到的ssh登录请求,源地址就是这些固定IP地址,这时就可以设置白名单,只允许特定的IP地址访问,来自其它IP地址的ssh登录请求会被驳回。

  1. 主要内容

设置SSH登录IP白名单,只允许特定IP用密码登录。

修改/etc/ssh/sshd_config的方案

操作步骤:

修改/etc/ssh/sshd_config配置文件,找到PasswordAuthentication字段,将其改为:PasswordAuthentication no

在整体上关闭了密码登录;

在 /etc/ssh/sshd_config 配置文件末尾,添加:

Match Address XXX.XXX.XXX.XXX

PasswordAuthentication yes

其中 XXX.XXX.XXX.XXX 是允许登录的特定的IP地址,当登录IP匹配 XXX.XXX.XXX.XXX 的形式时,允许采用密码登录。

也可以添加多个IP地址,可以使用通配符,例如:

Match Address 192.168.88.*,192.168.8.8,192.168.100.100

PasswordAuthentication yes

重启sshd服务:

systemctl restart sshd

实验验证:
测试环境:

修改/etc/ssh/sshd_config配置文件:

并重启sshd服务

Systemctl restart sshd

验证测试:
从192.168.88.1和192.168.88.7都可以登录目标主机,当从192.168.88.2进行登录就报错:

  1. 附录

https://man.openbsd.org/ssh_config

以及系统下man sshd_config可以查看详细的说明

posted @ 2025-01-21 11:22  xiaolongli  阅读(212)  评论(0)    收藏  举报