在Debian上使用IP地址限制SSH登录

Question

我只允许来自3个IP地址的SSH登录: 111.111.111.111和222.222.222.222和333.333.333。我知道，我必须编辑/etc/hosts.low和/etc/hosts.deny文件。

我的问题是关于这些文件的内容。我见过不同的变体：

# /etc/hosts.allow.允许

备选案文1：

sshd: 111.111.111
sshd: 222.222.222
sshd: 333.333.333

备选案文2：

sshd: 111.111.111, 222.222.222, 333.333.333

备选案文3：(无逗号)：

sshd: 111.111.111 222.222.222 333.333.333

备选案文4(带有sshdfwd-X11)：

sshd,sshdfwd-X11: 111.111.111 222.222.222 333.333.333

/etc/hosts.deny

备选案文1：

sshd: ALL

Variant2：

sshd,sshdfwd-X11:ALL

哪一个是正确的？我害怕把我锁在外面。谢谢。

Answer 1

我会在sshd_config中使用AllowUsers亲自完成这一任务。

AllowUsers = *@111.111.111.111, *@222.222.222.222, *@333.333.333.333

对我来说，这使得所有配置都保存在与您控制的应用程序相关的位置上。在UNIX中，通常有不止一种方法可以剥去猫的皮，但是如果工具提供了一种特定的控制机制，我更倾向于使用这种方法(它通常更易于移植)。

在对任何与远程访问有关的内容进行更改时，

1. 服务器上始终有多个会话。
2. 从屏幕或tmux会话中进行更改，以便在失去连接时可以重新连接到它。
3. 如果可能的话，尝试从非ssh控制台进行更改。

我发现只要你已经有几次远程治疗，你就会没事的。更改/etc/ssh/sshd_config和回收SSH不会断开任何现有会话。

虽然我很感激你没有回答具体的问题。我相信杰夫的回答 (因为如果使用/etc/hosts.deny或/etc/hosts.allow，所有这些变体都是有效的)。

Answer 2

一般来说，我更喜欢使用iptables来实现这样的规则。

就正确的变体而言，所有这些都应该有效。相关手册页 (谢谢你抓住这个奥利弗)说使用空格或逗号是可以接受的。它还将继续讨论任何匹配的daemon: client都会起作用，多个客户端可以被列到一行中，一个守护进程的多个条目都将被计算出来。