我在DMZ中有一些从外部(公共)IPv4地址接收公共stream量的服务器。 这是在我们的网关翻译到172.xxx地址。
所有的外部客户都使用本地帐户,并chrooted。 他们通过这种方式连接。
来自我们内部地址的内部账户来自10.xxx
我想限制openssh只能从内部(10.x)networking收听LDAP。 如果可能的话,我想在sshd conf文件中configuration它(没有tcpwrappers或iptables)。
所以,
sshd连接 – > 172.xxx本地auth只有sshd连接 – > 10.xxx local + ldap auth
运行openssh 6.1p1
谢谢,
德鲁。
如果我正确理解你的问题,你可以使用pam_access。 我不认为你可以在sshd_config中做到这一点。
要启用pam_access,请将以下行添加到pam sshd服务文件中。 在我的系统上是/etc/pam.d/sshd。
account required pam_access.so 那么你应该把本地用户和ldap用户放在不同的组中。 让我们说组本地用户和组用户。
您现在可以在/etc/security/access.conf中编辑访问限制:
# root only from local-network? + : root : : 10.0.0.0/8 # users in ldap only access from local network + : (ldapusers) : 10.0.0.0/8 # local user only access from 172.xxx network + : (localusers) : 172.0.0.0/8 # Deny all other users to get access from all sources? - : ALL : ALL
尝试首先了解access.confconfiguration,因为您可以轻松locking自己。