[实践Ok]Linux下的SSH登录通用户的来源ip禁止访问，根据IP限制控制某些用户/ip登录的成功配置，两次实践Ok。

Sun, 27 Mar 2011 03:44:07 +0000

我的实践：
/etc/hosts.allow
我的配置：
##########By Jack 2015/07/17 #############
sshd:10.108.*.* 10.4.*.* 192.168.112.135 10.64.16.128 10.23.158.84 202.108.16.108/255.255.255.224 202.108.107.* 220.181.198.* 101.23.22.* 10.23.23.* 10.23.64.* 12.23.56.*
##########  end   #############

重启SSH:
service sshd restart 或：
/etc/init.d/sshd restart
——————————————这种小的代码进行部署会用到，实践如下：——————————————————
因为linux下的ssh的SSH限制某些用户/ip登录,功能影响如下：
1）会影响向测试机发执行测试执行上线脚本生成上线代码的命令和scp拷贝待上线代码到上线机特定目录并比对功能。
2）会影响向线上环境拷贝application下的PHP代码到上线机并比和目前仿真机代码比对出线上大于仿真的版本号文件。

为此，
得放开上线仿真机到测试机，上线仿真机到线上机的ssh连接，
因某些安全原因会给限制，放开IP即可，按如下操作步骤即可：

IP地址如下：
仿真机IP： 101.211.228.135(是它像两只手一样分别去两台机器上拿代码）

测试机IP： 101.211.1.114
线上机IP： 101.211.1.118

操作如下：

步骤一：
在测试机上打开ssh的限定：
用ssh登录到 101.211.1.114，
vi /etc/hosts.allow
sshd:101.211.228.135

步骤二，同理步骤一操作：
也放开线上机器对上线机的ssh连接：
用ssh登录到  101.211.1.118，
vi /etc/hosts.allow
sshd:101.211.228.135

步骤三：重启SSH:
service sshd restart 或：
/etc/init.d/sshd restart

—————————————————————以下内容摘自网络—————————————————————————

1，只允许某个IP登录，拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 1.2.3.4
在 /etc/hosts.deny 写:
sshd: ALL

用 iptables 也行:
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 1.2.3.4 -j ACCEPT

2，禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名

3，设定登录黑名单
vi /etc/pam.d/sshd
增加
auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshd_user_deny_list onerr=succeed

所有/etc/sshd_user_deny_list里面的用户被拒绝ssh登录

vi /etc/ssh/sshd_conf
DenyUsers jackxiang

来源：http://www.gipsky.com/modules/article6/view.article.php?59909

[评论] [实践Ok]Linux下的SSH登录通用户的来源ip禁止访问，根据IP限制控制某些用户/ip登录的成功配置，两次实践Ok。

Thu, 01 Jan 1970 00:00:00 +0000

向东博客 专注WEB应用 构架之美 --- 构架之美，在于尽态极妍 | 应用之美，在于药到病除

[实践Ok]Linux下的SSH登录通用户的来源ip禁止访问，根据IP限制控制某些用户/ip登录的成功配置，两次实践Ok。

[评论] [实践Ok]Linux下的SSH登录通用户的来源ip禁止访问，根据IP限制控制某些用户/ip登录的成功配置，两次实践Ok。

向东博客专注WEB应用构架之美 --- 构架之美，在于尽态极妍 | 应用之美，在于药到病除