Как мы разрешаем пользователям / группам из определенных доменов (наших или их) получать доступ к ssh / sftp?

Вопрос: как мы разрешаем только определенным пользователям, поступающим из своего домена или используя наш домен соответствующим образом (SSH / SFTP)? НАПРИМЕР

jonnycustomer@ourdomain.com coming from customersIPaddress is Denied and jonnycustomer@ourdomain.com coming from randomIPaddress is not allowed and jonnycustomer@ourotherdomain.com is not allowed 

В Centos 7 наш sshd_config имеет эту дополнительную конфигурацию:

 Match Address 192.168.1.0/24 AllowUsers bob trev Match Address *,!192.168.1.0/24 AllowGroups sftpgroup Match All PermitRootLogin no 

sftpgroup – это группа наших клиентов, у которых есть свои собственные корневые каталоги. но приведенная выше конфигурация UNFORTUNATELY Позволяет «нашим сотрудникам» наших клиентов входить в систему с неизвестных IP-адресов, а также позволяет им использовать один из наших других доменов для входа в систему.

Я попробовал это, и внешние пользователи / группы перестали работать:

 Match Address 192.168.1.0/24 AllowUsers bob trev Match Address *,!192.168.1.0/24 AllowUsers customer1@ourdomain.com AllowGroups sftponly Match All PermitRootLogin no 

NB: bob и trev – наши сотрудники, которые получают доступ только изнутри (они не находятся в sftpgroup)

  • Влияние Openssl.Cnf на службы sshd amazon linux
  • Как сделать sash учетной записи capabele только для sshfs и rsync?
  • Добавить пользователя с правами администратора / администратора
  • SSH AuthorizedKeysCommand и SELinux
  • Как предотвратить запуск ssh-агента в CentOS?
  • убить пользователя, который простаивает более 3 часов
  • tmux убит, когда соединение внезапно закрывается удаленным хостом, но сохраняется при выходе из системы вручную
  • Не удается SSH клонировать сервер EC2 из общедоступной сети
  • One Solution collect form web for “Как мы разрешаем пользователям / группам из определенных доменов (наших или их) получать доступ к ssh / sftp?”

    Вы можете отменить свои изменения sshd_config и просто использовать /etc/hosts.allow . На вашем дистрибутиве может быть /etc/hosts.allow и /etc/hosts.deny .

    Например, с помощью FreeBSD вы должны использовать:

     sshd : <ip of allowed> : allow sshd : <another ip> : allow sshd : ALL : deny 

    Обязательно добавьте правило deny в конце!

    Interesting Posts
    Linux и Unix - лучшая ОС в мире.