Debian GNU/Linux,Linux

Как ограничить соединение с сервером по SSH, по IP?

Опубликовано в от Администратор

Если вы и члены вашей команды работают с сервером с постоянных «Ай Пи» адресов, то дополнительной и не лишней мерой безопасности будет ограничение доступа к серверу по IP.

Все что от нас требуется — внедрить список разрешенных IP-адресов, исключительно с которых и будет осуществляться дальнейшее соединение с сервером по SSH, что значительно снижает риск проникновения в случае утечки ваших частных ключей и/или паролей.

Обязательно проверьте корректность IP-адресов, которые вы добавляете в список. Убедитесь, что эти адреса не являются плавающими или динамическими, которые могут регулярно меняться. 

Узнаем наш текущий «Ай Пи» адрес с которого осуществляется данное соединение с сервером. Для этого введем нехитрую команду:

who

Команда отображает информацию о пользователях, которые в данный момент в системе. Найдите своего и посмотрите его IP:

root     pts/0        2021-09-27 18:40 (ВАШ.АЙПИ.100.206)

Можно воспользоваться более коротким вводом:

w

Выполнение этой команды по сути отобразит ту же информацию, но с заголовком:

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

Узнав свой IP и IP-адреса котором нужно предоставить доступ, мы открываем для редактирования уже знакомый (по предыдущим постам) нам файл:

sudo nano /etc/ssh/sshd_config

Далее идем курсором в конец файла и добавляем в зависимости от задачи нужное решение:

Ограничить всех пользователей конкретным IP-адресом:

AllowUsers *@255.0.110.1

Ограничить всех пользователей конкретным диапазоном IP-адресов (с помощью подстановочных знаков):

AllowUsers *@255.0.110.*

Ограничить всех пользователей несколькими конкретными IP-адресами и диапазонами:

AllowUsers *@255.0.110.1 *@255.0.110.2 *@192.0.1.0/24 *@182.16.*.1

Запретить вход всем пользователям, кроме указанных пользователей с конкретных IP-адресов:

AllowUsers den@255.0.110.1 alex@255.0.110.2<^>

Ограничить конкретного пользователя конкретным IP-адресом, сохраняя возможность для всех других пользователей входить без ограничений:

Match User alex
  AllowUsers alex@255.0.110.1

Сохраним и закроем файл. Не забудем проверить синтаксис конфигурации:

sudo sshd -t

Если ошибок не выявлено, то перезагружаем службу:

sudo service sshd reload
Администратор

Почитатель CMS WordPress