Este artículo describe cómo configurar un inicio de sesión restringido de Secure Shell (SSH) en un servidor desde una dirección IP o nombre de host en particular.
Para lograr esto, utilice TCP Wrappers porque proporcionan filtrado de tráfico básico del tráfico de red entrante. Aunque más complejo
A primera vista, los TCP Wrappers utilizan esencialmente dos archivos: /etc/hosts.allow y /etc/hosts.deny.
Si los archivos aún no existen, puede crearlos. ellos usando el siguiente comando:
sudo touch /etc/hosts.{allow,deny}
Denegar todos los hosts
Se considera una buena práctica denegar todas las conexiones SSH entrantes. Para hacer eso, realice los siguientes pasos:
1. Abra el archivo /etc/hosts.deny usando un editor de texto:
vi /etc/hosts.deny
2. Agregue la siguiente línea para denegar todas las conexiones SSH entrantes al servidor:
sshd: ALL
3.Guarde y cierre el archivo.
Eso es todo. Esto bloquea todo el acceso SSH al host.
Permitir direcciones IP
Ahora, realice los siguientes pasos para configurar las direcciones IP con autorización para iniciar sesión mediante SSH:
1. Abra el archivo /etc/hosts.allow usando un editor de texto:
vi /etc/hosts.allow
2. Agregue una línea sshd para permitir que la dirección IP de su elección se conecte mediante SSH público. Por ejemplo,
la siguiente línea permite la red 172.168.0.21:
sshd: 172.168.0.21
3. Guarde y cierre el archivo.
Los archivos TCP Wrapper aceptan una lista de entradas separadas por comas, por lo que puede agregar direcciones a la primera entrada.
en esta sección.
sshd: 172.168.0.21, 10.83.33.77, 10.63.152.9, 10.12.100.11, 10.82.192.28
También aceptan direcciones IP parciales como subredes, por lo que puedes permitir el 172.168.0.0/24 completo como:
sshd: 172.168.0.
O como se muestra en el siguiente ejemplo:
sshd: servidor local
sshd: 192.168.0.
sshd: 99.151.250.7
Puede permitir o denegar según la dirección IP, la subred o el nombre de host. Enumere las reglas en orden de mayor a menor específica.
Tenga en cuenta que los servidores basados en sistemas operativos Linux® miran primero el archivo hosts.allow que comienza
de arriba a abajo, seguido del archivo hosts.deny. Por ejemplo, un intento de conexión SSH desde una dirección IP
en hosts.allow está permitido, aunque hosts.deny bloquea todas las conexiones.
Con esta configuración, cualquier cliente enumerado en el archivo hosts.allow tiene permiso a través de SSH y cualquier cliente que no
listado está bloqueado.
Nota: No es necesario reiniciar el demonio SSH para que los cambios surtan efecto.
Fuentes