Logowanie SSH tylko z określonych adresów IP

Załóżmy, że posiadamy kilka serwerów i chcielibyśmy, aby logowanie do nich było w miarę możliwości jak najbezpieczniejsze.
W takim wypadku nie ma sensu męczyć się z mocnym zabezpieczeniem każdego, lecz lepszym rozwiązaniem jest przygotowanie jednej maszyny, która będzie dobrze chroniona (taka nasza „baza wypadowa” IYKWIM), a następnie udostępnienie możliwości logowania tylko z konkretnego IP na pozostałe maszyny.

W moim wypadku wszystkie serwery pozwalają na logowanie z dwóch lokalizacji:

  1. „Bazy wypadowej”
  2. Innego IP (w razie „padu” nr 1)

Jeśli posiadasz failover IP (np. w OVH), nie masz tego problemu – przepinasz IP na inny serwer i problemu już nie ma.

Jak przygotować?

  • Do pliku /etc/hosts.allow dodaj host/y z którego/których będzie można logować się. U mnie wygląda to tak (X’y i Y’ki to adresy IP):

sshd:XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY

  • W pliku /etc/hosts.deny dodamy host/y które wykluczę – tutaj: wszystkie pozostałe:

sshd:ALL

Oczywiście jest to jedynie blokada konkretnej usługi (tutaj SSH), natomiast możesz dopisać dowolną inną usługę, którą chcesz wykluczyć np. vsftpd czy telnet.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *