“

在数字世界中，服务器的安全性是任何网络管理员的首要任务。特别是对于远程登录协议如SSH，确保只有授权用户可以访问是至关重要的。

今天，记录两种有效的方法来控制用户对特定服务器的访问：通过sshd_config实现黑/白名单机制和利用DenyHosts工具。让咱们深入了解这些策略，并学习如何实施它们以保护您的服务器免受未经授权的访问。

使用sshd_config进行精细的访问控制

黑/白名单设置

通过配置/etc/ssh/sshd_config文件，可以非常具体地定义哪些用户可以或不能通过SSH连接到我们的服务器。这可以通过编辑配置文件并在其末尾添加适当的参数来实现。

例如，如果想拒绝名为node的用户从192.168.1.x IP地址范围内登录，或者禁止名为node和test的所有用户登录，可以这样配置：

DenyUsers node@192.168.1.x
DenyUsers node test

同样地，如果我们想要允许root用户通过特定的IP地址（如192.168.1.x）登录，或者允许root和test用户登录，可以这样设置：

AllowUsers root@192.168.1.x
AllowUsers root test

注意： 默认情况下，未明确允许的所有其他用户或用户组将被拒绝登录。

修改配置后，不要忘记重启sshd服务以使更改生效：

systemctl restart sshd

通过DenyHosts实现IP级别的访问控制

另一种方法是利用DenyHosts，它通过配置/etc/hosts.allow和/etc/hosts.deny文件，基于IP地址进行访问控制。

允许指定IP连接SSH

要允许来自特定IP地址或子网的SSH连接，可以在/etc/hosts.allow中加入如下规则：

sshd:192.168.1.1:allow
sshd:192.168.1.1/24:allow

拒绝指定IP连接SSH

要拒绝所有IP地址的SSH连接（除了上面在hosts.allow中明确允许的），可以使用以下规则：

sshd:ALL

补充说明： 当hosts.allow和hosts.deny同时存在规则时，hosts.allow中的规则优先级更高。因此，合理规划这两个文件中的规则非常重要。

总结

通过上述两种方法，可以有效地控制和管理服务器的SSH访问。

选择最合适的方法取决于运维人员的特定需求和安全策略。无论哪种方式，确保定期更新和维护这些设置，以应对不断变化的安全威胁是非常重要的。

---

最后~欢迎关注我！ @Linux学习的那些事儿

我的个人资源整理，满满都是干货： 无任何套路，有需要可以访问领取

200T免费资源专区，持续发布中... 

如果本文对你有帮助，欢迎点赞、收藏、转发给朋友，让我有持续创作的动力！