限制 SSH 访问仅允许特定 IP 连接

原创 于 2025-05-26 14:20:48 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #tcp/ip #运维

要限制 SSH 访问仅允许特定 IP 连接,可以通过以下 4 种方法实现(推荐按优先级选择):

方法 1:使用 /etc/hosts.allow/etc/hosts.deny(最简单)

# 编辑允许规则(需 root 权限)
sudo vim /etc/hosts.allow

添加内容(支持 IP 或网段):

sshd: 192.168.1.100, 203.0.113.45/32

# 编辑拒绝规则
sudo vim /etc/hosts.deny

添加内容:

sshd: ALL

生效
无需重启服务,规则即时生效。

方法 2:配置 SSH 的 AllowUsersAllowGroups(精准控制)

sudo vim /etc/ssh/sshd_config

添加或修改以下行(支持通配符):

AllowUsers *@192.168.1.100 *@203.0.113.45
# 或限制用户组
AllowGroups admin@192.168.1.0/24

生效
重启 SSH 服务:

sudo systemctl restart sshd

方法 3:使用防火墙(iptables/nftables)

iptables 规则示例
# 清空现有规则(谨慎操作)
sudo iptables -F

# 允许指定 IP 访问 22 端口
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

# 保存规则(根据系统选择)
sudo iptables-save > /etc/iptables/rules.v4  # Debian/Ubuntu
sudo service iptables save                   # CentOS/RHEL
nftables 规则示例
sudo nft add table ip ssh_filter
sudo nft add chain ip ssh_filter input { type filter hook input priority 0 \; }
sudo nft add rule ip ssh_filter input tcp dport 22 ip saddr 192.168.1.100 accept
sudo nft add rule ip ssh_filter input tcp dport 22 drop

方法 4:TCP Wrappers(传统方法,部分系统已弃用)

# 编辑 /etc/hosts.allow(同方法1)
sudo vim /etc/hosts.allow

sshd: 192.168.1.100

验证配置

  1. 测试连接
    ssh user@服务器IP -v  # 从非允许IP尝试会显示被拒绝
  2. 查看日志
    sudo tail -f /var/log/auth.log  # Debian/Ubuntu
sudo tail -f /var/log/secure   # CentOS/RHEL

注意事项

  1. 备份配置:修改前备份相关文件(如 sshd_config)。
  2. 保留应急通道:确保至少有一个 IP 能被允许,避免锁死服务器。
  3. 动态 IP 用户:若需支持动态 IP,可结合 DDNS 或 VPN 方案。

选择最适合你环境的方法,通常 方法1+方法2 组合使用既简单又安全。

Linux只允许某一IP登录SSH
BaiHu
04-20 3813
概述 在企业中,服务器上只允许通道机IP以root用户登录,要实现这种功能,需要在服务器上设置某一或某些IP登录SSH,并拒绝其他所有IP登录,同时修改SSH端口。有两种方法: 方法一. 修改sshd_config [root@baihu ~]# vim /etc/ssh/sshd_config 添加 AllowUsers Root@10.132.4.*(通道机IP) ... # If you ...
使用 iptables 限制 SSH 连接允许特定来源 IP 访问的完整指南
广阔天地,大有作为
09-13 2299
通过本文介绍的方法,你可以有效地使用iptables限制 SSH 连接,只允许特定IP 地址访问你的服务器。此举能够显著提高服务器的安全性,防止未经授权的访问。希望本文能够帮助你更好地保护你的服务器安全。
SSH限制ip登陆
weixin_34247032的博客
06-03 699
在/etc/hosts.allow输入 (其中192.168.10.88是你要允许登陆sship,或者是一个网段192.168.10.0/24) sshd:192.168.10.88:allow 在/etc/hosts.deny输入(表示除了上面允许的,其他的ip 都拒绝登陆ssh) sshd:ALL 本...
限制SSH登录IP
wangnan229的博客
02-11 4794
步骤: 在指定IP的机器上(目前是 172.1.1.10),登录192.168.1.10终端,输入命令: vim /etc/ssh/sshd_config 在末尾输入: AllowUsers root@192.168.1.10 即允许192.168.1.10 登录root账户 如需新增可登录IP,按格式再新添加一行即可。 重启SSH服务,输入命令: systemctl restart sshd ...
ssh安全只允许用户从指定的IP登陆
热门推荐
******* ▄︻┻┳═一 *******
08-10 1万+
一、编辑ssh的配置文件默认 vim /etc/ssh/sshd_config 二、在文件最后面另起一行添加 AllowUsers root@ip 三、保存退出,重新启动下ssh 四、我们另外启动一个窗口进行连接测试是否正常允许指定的IP登陆了,使用其他的IP进行测试下或者请朋友帮忙ssh看下。使用其它IP是登陆不了的,即使输入正确的密码。 五、如果公司或者自己家里不是固定IP
如何在 Ubuntu 20.04 上配置 UFW 规则来限制特定 IP 访问允许多个 IP 地址访问教程
qq_57526628的博客
12-31 1751
Uncomplicated Firewall (UFW) 是 Ubuntu 系统上广泛使用的防火墙工具,它提供了一种简单的方式来设置和管理服务器的网络访问规则。本教程的目标是手把手教您如何在 Ubuntu 20.04 服务器上配置 UFW 规则来限制特定 IP 地址访问,以及如何同时允许多个 IP 地址访问
允许特定端口进行ssh访问
07-10
1. 如何同时限制SSH访问的源IP和源端口? 2. 配置后导致SSH连接失败应如何排查? 3. 华为交换机ACL有哪些类型?分别适用于什么场景? 4. 除了端口限制,还有哪些方法可以加固SSH安全? 5. 能否在交换机上修改SSH服务...
H3C MSR3600 V7 如何通过acl 限制允许特定IP通过SSH管理设备
05-30
在 H3C MSR3600 V7 设备上,通过配置访问控制列表(ACL)可以实现对特定 IP 地址SSH 管理权限限制。以下是详细的配置方法: #### 1. 创建 ACL 规则 首先需要创建一个扩展 ACL,用于定义允许或拒绝的源 IP 地址。...
华为ENSP如何设置SSH允许特定IP登录?
最新发布
07-29
首先,用户的问题是:“我想在华为ENSP中配置SSH服务以允许特定IP地址登录 请问华为ENSP配置SSH允许特定IP访问”。这涉及到在华为eNSP模拟器中配置SSH服务,并限制访问只来自特定IP地址。 从系统级指令中,我需要...
云服务器使用ssh限制远程登录ip的方法
xxx
05-11 4010
云服务器使用ssh限制远程登录ip的方法 本地服务器位于局域网内,ssh可以通过设置内网访问的方式同时搭配vpn对服务器进行远程登录,而云服务器无法配置到本地进行使用,从而ssh没有办法通过限制内网访问的方法来阻止非授权远程登录或者密码破解攻击。只能通过限制ip的方式,具体操作如下: cd /etc/ vi hosts.allow 然后在末尾加入你允许访问Ip地址即可: sshd:...
CentOS 7下限制ip访问
05-11 932
此教程的作用:设置SSH允许特定用户从特定IP登录,其它未经允许的用户和IP都不能登录 示例1:只允许192.168.0.222登录192.168.1.81 # vim /etc/hosts.allow,最后一行加入: sshd:192.168.0.222:allow //多个IP可以按照此格式写多行 # vim /etc/hosts.deny,最后一行加入: ...
Linux通过ssh限制IP登录-指定或禁止用户登录,加黑名单,白名单
m0_50760467的博客
10-11 7130
原理:hosts.allow 和hosts.deny 两个文件同时设置规则的时候,hosts.allow 文件中的规则优先级高,在hosts.allow 文件中允许192.168.200.0/24这个段的 IP 地址ssh 登录,hosts.deny文件中禁止所有IP登录,按照此方法设置后服务器只允许 192.168.200.0/24这个段的 IP 地址ssh 登录,其它的IP 都会拒绝。##3.只允许192.168.200.0段的IP登录,其他所有IP段无法登陆。
通过ssh限制ip访问
weixin_30677617的博客
03-02 218
方法:在/etc/hosts.allow中加入允许ip,并禁止其他ip sshd:192.168.1.22:allow sshd:ALL:deny 不需要修改/etc/hosts.deny 转载于:https://www.cnblogs.com/rd-log/p/4309125.html
实用小技巧-限制SSH登录LINUX的主机IP
huiyangxu blog
12-10 2984
实用小技巧-限制SSH登录LINUX的主机IP
ssh允许某个ip登录-------linux安全加固
lzj20060418的博客
05-06 3243
hosts.allow 和hosts.deny 两个文件同时设置规则的时候,hosts.allow 文件中的规则优先级高,假设按照上述方法设置后服务器只允许192.168.1.3这个IP地址SSH登录,其它的 IP 都会拒绝。在/etc/ssh/sshd_config 配置文件中设置AllowUsers选项,在配置文件末尾添加行格式如下(例如允许用户test通过192.168.1.2登录)。配置了指定用户或者用户组允许登录后,默认拒绝其他所有用户或者用户组。允许指定用户进行登录(白名单)
ssh限制来源IP
教Linux的李老师
12-21 1590
ssh限制来源IP,ssh从指定ip地址登录
允许指定ip远程连接ssh
qq_25096749的博客
11-04 1176
ssh
linux限制SSH服务可访问的源地址ip
qq_17576885的博客
12-28 2853
限制SSH服务可访问源 说明 通过修改SSH的配置文件限制可以使用SSH服务远程管理的主机。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/hosts.deny [test@localhost ~]$ more /etc/hosts.allow 2)根据显示结果检查SSH服务可访问地址 修改建议 1)使用vim编辑器修改hosts限制文件: [test@localhost ~]$ sudo vim /etc/hosts.deny sshd:ALL [tes
允许指定ip登录ssh
qq_42783214的博客
12-23 2266
vi /etc/ssh/sshd_config AllowUsers root@192.168.1.88 systemctl restart sshd.service 重启服务即可
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

思静鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值