首页 > 文章 > linux

Linux限制SSH登录IP方法

时间：2026-04-02 08:33:57 233浏览收藏

在Linux系统中，限制SSH登录IP的最可靠、最精准的方法是直接使用sshd原生配置——优先采用`sshd_config`中的`Match Address`配合`AllowUsers`或`DenyUsers`，它支持CIDR网段、多条件嵌套且不依赖外部组件；而传统的`/etc/hosts.allow`因现代OpenSSH默认不链接`libwrap`已基本失效，iptables虽能在网络层快速拦截，却无法区分用户、不兼容高级SSH特性（如端口转发）、易受多网卡和容器环境影响，仅适合作为暴力破解防护的补充手段；真正“一劳永逸”的方案，反而是通过`ListenAddress`限定SSH仅监听可信内网接口——从源头杜绝外网连接可能。

Linux怎么限制SSH登录IP_Linux如何配置hosts.allow白名单【方法】

SSH登录IP限制该用`/etc/hosts.allow`还是`iptables`？

直接说结论：优先用sshd自带的AllowUsers或Match Address，/etc/hosts.allow已过时且不可靠；iptables（或nftables）适合网络层粗粒度封禁，但无法区分同一IP下的不同用户。

原因很简单：hosts.allow依赖tcp_wrappers，而现代OpenSSH默认编译时已不启用它（ldd $(which sshd) | grep libwrap无输出即未链接）。强行配置/etc/hosts.allow可能完全不生效，还误以为“已经加了白名单”。

sshd配置更精准：支持按用户、IP、甚至端口条件匹配
iptables规则在连接建立前就拦截，但无法处理密钥认证、端口转发等高级场景
若系统已启用systemd的sshd.socket激活机制，tcp_wrappers根本不会被调用

用`sshd_config`实现IP白名单的正确写法

核心是Match Address块——它比AllowUsers更灵活，能嵌套条件，且不依赖外部服务。

示例：只允许192.168.1.0/24和2001:db8::/32网段的admin用户登录：

Match Address 192.168.1.0/24,2001:db8::/32
    AllowUsers admin
Match Address *
    DenyUsers *

Match Address支持CIDR、主机名、通配符（如10.*），但不支持正则
必须放在sshd_config末尾，且DenyUsers *要写在最后的Match块里才生效
改完后必须运行sudo systemctl reload sshd（不是restart），否则连接会断
测试时务必留一个未受限的备用连接，否则可能锁死自己

`hosts.allow`还能用吗？什么情况下会失效

能用，但仅限于确认sshd确实链接了libwrap的老系统（如CentOS 6、Debian 9之前），且没启用UsePAM yes——因为PAM会绕过tcp_wrappers。

常见失效现象：

明明写了sshd: 192.168.1.100，但192.168.1.101照样能连上
sshd -T | grep usepam返回usepam yes，此时hosts.allow被忽略
systemctl status sshd显示Loaded: loaded (/usr/lib/systemd/system/sshd.service; ...)而非sshd.socket，但依然不生效——说明编译时没带--with-libwrap

验证是否启用：sshd -T 2>/dev/null | grep -i wrap，无输出即未启用。