forum.lissyara.su

некоторое время потратил на гугление, может кому пригодится.
задача: запретить всем заходить рутом по ssh, кроме одного хоста.

решение:


freebsd:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/rc.d/sshd restart

/etc/login.access
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6



linux:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/init.d/ssh restart

/etc/pam.d/sshd
##раскомментировать строчку
#account required pam_access.so

/etc/security/access.conf
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6

Другой вариант
man sshd_config
/etc/ssh/sshd_config

Если в локалке хакеры, я бы root вообще закрыл, можно ведь и через su получить желаемое.
Имхо доступ по ip лучше файрволом регул-ровать, какие проблемы ограничить доступ к 22 порту на конкретном ip? Можно и порт переназначить.

Дурацкая идея, дать доступ на ssh руту, есть команда su, а если вообще хочется разрешить удаленное администрирование только с определенного ip, так используйте в sshd_config Можно еще дополнительно блокировать 22 порт файрволом...

Не дурацкая. Например, я с помощью этого делаю полный бэкап системы через rsync. Если вы знаете лучшие идеи для этого - предложите.

Подскажите как закрыть 22й порт в фаерволе, для всех кроме определенного IP ?
Centos 5.5