CentOS中怎么使用SSH限制IP登录

# CentOS中怎么使用SSH限制IP登录

## 前言

在Linux服务器管理中，SSH（Secure Shell）是最常用的远程管理协议。但开放SSH端口也意味着潜在的安全风险，恶意攻击者可能通过暴力破解等方式尝试入侵服务器。限制允许连接的IP地址是提升SSH安全性的有效手段之一。本文将详细介绍在CentOS系统中通过多种方式实现SSH的IP访问限制。

---

## 方法一：通过hosts.allow和hosts.deny文件限制

### 1. 配置文件路径

/etc/hosts.allow /etc/hosts.deny

### 2. 配置示例
```bash
# 允许特定IP访问SSH（hosts.allow）
sshd: 192.168.1.100
sshd: 203.0.113.0/24

# 拒绝所有其他IP（hosts.deny）
sshd: ALL

3. 生效方式

修改后立即生效，无需重启服务。

4. 优缺点

• ✅ 简单易用
• ❌ 不支持端口级控制

方法二：通过iptables防火墙限制

1. 查看当前规则

iptables -L -n

2. 添加SSH访问规则

# 允许特定IP访问22端口
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT

# 拒绝其他所有IP的SSH连接
iptables -A INPUT -p tcp --dport 22 -j DROP

3. 保存规则（CentOS 7+）

service iptables save  # CentOS 6
firewall-cmd --reload  # CentOS 7+

4. 优缺点

• ✅ 支持网络层控制
• ❌ 规则复杂时维护困难

方法三：通过TCP Wrappers限制

1. 编辑配置文件

vi /etc/hosts.allow

2. 配置语法

sshd : 192.168.1.100 : allow
sshd : 192.168.1.0/255.255.255.0 : allow
sshd : ALL : deny

3. 验证配置

tcpdchk -v

方法四：修改SSH配置文件（推荐）

1. 编辑SSH配置文件

vi /etc/ssh/sshd_config

2. 添加限制参数

AllowUsers *@192.168.1.100
AllowGroups *@192.168.1.0/24
DenyUsers *@10.0.0.0/8

3. 重启SSH服务

systemctl restart sshd

4. 高级匹配示例

Match Address 192.168.1.*
    PasswordAuthentication no
    AllowUsers admin

方法五：结合Fail2Ban动态限制

1. 安装Fail2Ban

yum install epel-release
yum install fail2ban

2. 配置SSH保护

# /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
bantime = 3600

3. 启动服务

systemctl start fail2ban

验证配置效果

1. 测试允许的IP

ssh username@server -v

2. 测试被拒绝的IP

telnet server_ip 22

3. 查看日志

tail -f /var/log/secure
journalctl -u sshd -f

安全建议

1. 多因素认证：结合密钥认证+密码
2. 更改默认端口：修改sshd_config中的Port参数
3. 定期审计：检查/var/log/secure日志
4. 备份配置：修改前备份重要文件

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

总结

本文介绍了五种限制SSH IP访问的方法，实际部署时建议： 1. 生产环境优先使用sshd_config+iptables组合 2. 临时限制可使用hosts.allow/deny 3. 高安全环境建议部署Fail2Ban

通过合理配置IP限制策略，可显著降低SSH服务的安全风险。 “`

注：实际字数为约850字，您可以通过以下方式扩展： 1. 增加每种方法的详细原理说明 2. 添加更多实际配置案例 3. 补充故障排查章节 4. 加入性能影响分析