Monday, April 07, 2014

針對不同IP限制root SSH登入

關閉root的遠端SSH登入, 是常見的Linux資安手段.
但是如果想要針對某個或某些IP來源, 允許root登入, 應該怎麼寫?
SSH的設定檔本身其實就允許條件設定.
舉例來說, 我想要某機器允許192.168.0.x的網段, 還有該機器自己可以root SSH, 但對其他IP關閉
那可以這樣寫:

PermitRootLogin no
Match Address 192.168.0.*,127.0.0.1
    PermitRootLogin yes

第一條設定是global的設定, 下面的Match就是我要設定的篩選條件.
多個篩選條件可以用逗號隔開.
一個Match區塊可以設定很多條設定值, 但是如果區塊內有某個設定值出現一次以上, 那麼會以第一次的值為準.
一個Match區塊只會有兩種結尾: 另一個Match關鍵字, 或是檔案結尾.
所以要做條件篩選的設定值, 要放在檔案的最後面.

No comments: