ブルートフォース攻撃に対する防御の最前線として、TCPラッパーを使用したSSHログイン試行を制限しました(デフォルトではアクセスを拒否し、IPホワイトリストを維持しています/etc/hosts.allow)。
ただし、ホワイトリストにないIPアドレスからサーバーにアクセスする必要がある場合があります(システムは最終的に自分の試行をブロックします)。
すべてのIPアドレスに対してSSHキー付きログインを許可することはできますが、特定のホワイトリストにないIPからのパスワードのみのログインを禁止することはできますか?キー付きログインのみを許可するようにSSHを構成できることは知っていますが、IPアドレスの範囲でパスワードを使用してログインできるようにしたいと思います。
回答:
PasswordAuthentication no
Match Address 192.168.1.0/24
PasswordAuthentication yes
Match Address 2001:470:1f0b:915::/64
PasswordAuthentication yes
またBanner、パスワードログインが受け入れられたときに明確にするために、さまざまなバナーファイルを設定します。
sshd_configますか?fail2banを使用していますが、ホワイトリストに登録する必要があります。私は新しい質問をするべきだと思う
sshd_configOpenSSHを使用している場合、あなたは持っていると確信しています。ええ、もしあなたがfail2banについて尋ねているなら、それはこの質問とは全く関係ありません。
sshd_configます。