Ограничение доступа ssh по IP в CentOS
17 May 2012 | Автор: dd |Как говорится век живи – век учиcь. Оказалось, что CentOS’вский ssh не в курсе того, что на нормальных операционках ограничение подключений по IP осуществляется путем директивы AllowHosts в конфиге sshd_config. И посему эти ограничения следует прописывать в двух файлах:
/etc/hosts.allow
/etc/hosts.deny
Причем смысл в том, что прописываются в них ограничения для всех пакетов относящихся к INET сервисам. В принципе это конечно довольно удобно, то что не надо лазить по разным конфигам, а настраивается в одном файле, но имхо- все же в конфиге софта было бы понятнее.
Принцип настройки как в фаерволе, по умолчанию разрешено все, что ни запрещено, то есть помимо того, чтобы прописывать разрешения в hosts.allow, надо запретить все в hosts.deny. То есть пути работы с этими разрешениями два: либо банить какие то адреса в hosts.deny, либо прикрывать все и разрешать какие то IP в hosts.allow, у которого есть приоритет перед запретами. Выглядеть это будет следующим образом, скажем для фтп и ссх:
#### hosts.allow
ALL : localhost
sshd : 192.168.0.100
proftpd : 192.168.0.0/24
#### hosts.deny
sshd : ALL
proftpd : ALL
Либо же идти дальше и врубать имеющую место быть, двухфакторную аутентификацию, одним из параметров которой как раз и является IP адрес.
