ssh安全只允许用户从指定的IP登陆

一、编辑ssh的配置文件默认 vim /etc/ssh/sshd_config

二、在文件最后面另起一行添加 AllowUsers root@ip



三、保存退出，重新启动下ssh

四、我们另外启动一个窗口进行连接测试是否正常允许指定的IP登陆了，使用其他的IP进行测试下或者请朋友帮忙ssh看下。使用其它IP是登陆不了的，即使输入正确的密码。

五、如果公司或者自己家里不是固定IP的，我们可以使用动态域名进行设置

AllowUsers root@域名或者ip地址或者网段

六、限制某个用户或者ip登录

DenyUsers www john         #www john为用户名
DenyUsers root@域名或者ip地址或者网段

扩展

在centos6中，指定或者限制服务器只允许指定IP登陆方法

一、在/etc/hosts.allow与/etc/hosts.deny中定义

优先级为先检查/etc/hosts.deny，再检查/etc/hosts.allow， 后者设定可越过前者限制(先走允许规则，再走拒绝规则)，

1.限制所有的ssh，除了从218.64.87.0网段进来的用户
/etc/hosts.deny:
sshd:ALL      #拒绝所有ssh连接

/etc/hosts.allow:
sshd:218.64.87.0/255.255.255.0

==========================================
2.封掉218.64.87.0网段的telnet
/etc/hosts.deny
telnetd:218.64.87.0/255.255.255.0

==========================================
3.限制所有的TCP连接，除了从218.64.87.0网段进来的用户
/etc/hosts.deny
ALL:ALL

/etc/hosts.allow
ALL:218.64.87.0/255.255.255.0
==========================================

其中冒号前面是TCP daemon的服务进程名称，通常系统
进程在/etc/xinetd.conf中指定，比如in.ftpd，in.telnetd，in.sshd

==========================================
其中IP地址范围的写法有若干中，主要的三种是：
1.网络地址——子网掩码方式：
218.64.87.0/255.255.255.0

2.网络地址方式
218.64.（即以218.64打头的IP地址）

==========================================
设置好后，要重新启动
/etc/rc.d/init.d/xinetd restart
/etc/rc.d/init.d/network restart

二、iptables 防火墙

单个IP的命令是
iptables -I INPUT -s 59.151.119.180 -j DROP

封IP段的命令是
iptables -I INPUT -s 211.1.0.0/16 -j DROP

封整个段的命令是
iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
service   iptables   save

解封：
iptables -L INPUT
iptables -L --line-numbers 然后iptables -D INPUT 序号