%EC%9D%98%20%EC%82%AC%EC%9A%A9%EC%9E%90%2F%EA%B7%B8%EB%A3%B9%EC%97%90%EA%B2%8C%EB%A7%8C%20ssh%2Fsftp%20%EC%95%A1%EC%84%B8%EC%8A%A4%EB%A5%BC%20%ED%97%88%EC%9A%A9%ED%95%98%EB%A0%A4%EB%A9%B4%20%EC%96%B4%EB%96%BB%EA%B2%8C%20%ED%95%B4%EC%95%BC%20%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
문제는 도메인에서 특정 사용자만 허용하거나 적절한 방식(SSH/SFTP)으로 도메인을 사용할 수 있는 방법입니다. 예를 들어
[email protected] coming from customersIPaddress is Denied
and
[email protected] coming from randomIPaddress is not allowed
and
[email protected] is not allowed
Centos 7에서는 sshd_config에 다음과 같은 추가 구성이 있습니다.
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowGroups sftpgroup
Match All
PermitRootLogin no
sftpgroup은 자체 루트 디렉터리를 가진 클라이언트 그룹입니다. 그러나 안타깝게도 위 구성을 사용하면 고객의 "직원"이 알 수 없는 IP 주소에서 로그인할 수 있을 뿐만 아니라 다른 도메인 중 하나를 사용하여 로그인할 수도 있습니다.
이것을 시도했는데 외부 사용자/그룹이 작동을 멈췄습니다.
Match Address 192.168.1.0/24
AllowUsers bob trev
Match Address *,!192.168.1.0/24
AllowUsers [email protected]
AllowGroups sftponly
Match All
PermitRootLogin no
참고: bob과 trev는 우리 직원이며 내부에서만 액세스할 수 있습니다(sftpgroup에 속하지 않음).
답변1
변경 사항을 롤백 하고 배포판에서는 및 를 sshd_config사용할 수 있습니다 ./etc/hosts.allow/etc/hosts.allow/etc/hosts.deny
예를 들어 FreeBSD의 경우 다음을 사용할 수 있습니다.
sshd : <ip of allowed> : allow
sshd : <another ip> : allow
sshd : ALL : deny
deny마지막에 규칙을 추가하세요!