麒麟V10配置sshd IP白名单登录20240923V1
麒麟V10配置sshd IP白名单登录
麒麟软件有限公司
2024年9月23日
文档变更记录
版本号 | 变更说明 | 变更人 | 日期 | 备注 |
V1 | 李小龙 | 2024年9月23日 | ||
目录
设置SSH登录IP白名单,过滤非法IP密码登录请求。
当Linux服务器暴露在公网时,不可避免地会受到大量ssh登录请求。
在某些应用场景,登录Linux服务器进行操作的只有若干个固定IP地址,例如某公司有固定IP地址的企业专线,大家的电脑就会通过这些固定IP和公网交互,这时部署在公网的Linux服务器收到的ssh登录请求,源地址就是这些固定IP地址,这时就可以设置白名单,只允许特定的IP地址访问,来自其它IP地址的ssh登录请求会被驳回。
设置SSH登录IP白名单,只允许特定IP用密码登录。
修改/etc/ssh/sshd_config的方案
操作步骤:
修改/etc/ssh/sshd_config配置文件,找到PasswordAuthentication字段,将其改为:PasswordAuthentication no
在整体上关闭了密码登录;
在 /etc/ssh/sshd_config 配置文件末尾,添加:
Match Address XXX.XXX.XXX.XXX
PasswordAuthentication yes
其中 XXX.XXX.XXX.XXX 是允许登录的特定的IP地址,当登录IP匹配 XXX.XXX.XXX.XXX 的形式时,允许采用密码登录。
也可以添加多个IP地址,可以使用通配符,例如:
Match Address 192.168.88.*,192.168.8.8,192.168.100.100
PasswordAuthentication yes
重启sshd服务:
systemctl restart sshd
实验验证:
测试环境:
![]()
修改/etc/ssh/sshd_config配置文件:
并重启sshd服务
Systemctl restart sshd
验证测试:
从192.168.88.1和192.168.88.7都可以登录目标主机,当从192.168.88.2进行登录就报错:
https://man.openbsd.org/ssh_config
以及系统下man sshd_config可以查看详细的说明