Cet article décrit comment configurer une connexion Secure Shell (SSH) restreinte à un serveur à partir d'une adresse IP ou d'un nom d'hôte particulier.
Pour ce faire, utilisez des wrappers TCP car ils fournissent un filtrage de base du trafic réseau entrant. Bien que plus complexes en surface, les wrappers TCP utilisent essentiellement deux fichiers :/etc/hosts.allow et /etc/hosts.deny .
Si les fichiers n'existent pas encore, vous pouvez créer. à l'aide de la commande suivante :
sudo touch /etc/hosts.{allow,deny}
Refuser tous les hôtes
Il est recommandé de refuser toutes les connexions SSH entrantes. Pour ce faire, suivez les étapes suivantes :
-
Ouvrez le fichier /etc/hosts.deny en utilisant un éditeur de texte :
vi /etc/hosts.deny
-
Ajoutez la ligne suivante pour refuser toutes les connexions SSH entrantes au serveur :
sshd: ALL
-
Enregistrez et fermez le fichier.
C'est ça. Cela bloque tous les accès SSH à l'hôte
Autoriser les adresses IP
Maintenant, effectuez les étapes suivantes pour configurer les adresses IP avec l'autorisation de se connecter en utilisant SSH :
-
Ouvrez le fichier /etc/hosts.allow fichier à l'aide d'un éditeur de texte :
vi /etc/hosts.allow
-
Ajouter un
sshd
pour permettre à l'adresse IP de votre choix de se connecter en utilisant SSH public. Par exemple, la ligne suivante autorise le réseau172.168.0.21
:sshd: 172.168.0.21
-
Enregistrez et fermez le fichier.
Les fichiers TCP Wrapper acceptent une liste d'entrées séparées par des virgules, vous pouvez donc ajouter des adresses à la première entrée de cette section.
sshd: 172.168.0.21, 10.83.33.77, 10.63.152.9, 10.12.100.11, 10.82.192.28
Ils acceptent également des adresses IP partielles en tant que sous-réseaux, vous pouvez donc autoriser l'intégralité de 172.168.0.0/24
comme :
sshd: 172.168.0.
Ou comme indiqué dans l'exemple suivant :
sshd : localhost
sshd : 192.168.0.
sshd : 99.151.250.7
Vous pouvez autoriser ou refuser en fonction de l'adresse IP, du sous-réseau ou du nom d'hôte. Répertoriez les règles dans l'ordre du plus spécifique au moins spécifique. Gardez à l'esprit que les serveurs basés sur les systèmes d'exploitation Linux® examinent d'abord le fichier hosts.allow fichier commençant de haut en bas, suivi de hosts.deny dossier. Par exemple, une tentative de connexion SSH depuis une adresse IP dans hosts.allow est autorisé, même si hosts.deny bloque toutes les connexions.
Avec cette configuration, tout client répertorié dans hosts.allow sont autorisés via SSH et tout client non répertorié est bloqué.
Remarque :Le démon SSH n'a pas besoin d'être redémarré pour que les modifications prennent effet.