ssh разрешить доступ по паролю только из локальной сети! Реально?

[djrust]

Добрый вечер!

Как сделать пул адресов через которые можно будет логинеться по паролю?

Сейчас
PasswordAuthentication no
+ Авторизация по ключу

Надо оставить
PasswordAuthentication no
И сделать локальную сеть развешенной(192.168.X.X/24)


Или надо ставить yes + allowUsers user@IP  ?

[Heider]

В файле /etc/hosts.allow написать
sshd: <список ip-адресов через пробел>

[AnrDaemon]

Heider, зачем так сложно?

djrust,
Match address !192.168.X.0/24
PasswordAuthentication no

[djrust]

djrust,
Match address !192.168.X.0/24
PasswordAuthentication no

После этого ssh не стартует )))

OpenSSH_5.9p1 Debian-5ubuntu1.8, OpenSSL 1.0.1 14 Mar 2012

[AnrDaemon]

После чего этого, и что в логах?…
Не маленький ведь.

[koshev]

man sshd_config(5)

Код: (text) [Выделить]

Match
    Начинает условный блок.
# skip
Концом блока считается либо следующая директива Match, либо конец файла.

[djrust]

После чего этого, и что в логах?…
Не маленький ведь.

Видимо маленький,если маны не читаю))))

Получилось Так( ! не нужна,т.е нужен доступ только с X.0/24)

Код: [Выделить]

Match address 192.168.X.0/24
 PasswordAuthentication yesСпасибо!

koshev,
Спасибо за ман) помог!

[AnrDaemon]

Потому что надо ! слитно писать…

[djrust]

Потому что надо ! слитно писать…

У вас разве раздельно СКОПИРОВАНО?
! дает доступ всем,кроме X.0/24
Мне нужен был обратный эффект,который работает без !

[AnrDaemon]

Порядок секций тоже важен.
Так не работает:

Код: [Выделить]

PermitRootLogin no
PasswordAuthentication yes

MaxAuthTries 1

Match user "*root"
  PasswordAuthentication no

Match user "*root" address 192.168.35.0/24
  PasswordAuthentication yes
  PermitRootLogin without-password(первый match срабатывает всегда, второй никогда)

Так работает:

Код: [Выделить]

PermitRootLogin no
PasswordAuthentication yes

MaxAuthTries 1

Match user "*root" address 192.168.35.0/24
  PasswordAuthentication yes
  PermitRootLogin without-password

Match user "*root"
  PasswordAuthentication no(Из локальной сети могу подключиться по SSH и под рутом и под как-бы-рутом, под рутом только по ключу, под как-бы - по паролю и ключу, из интернета - только под как-бы и только по ключу.)

[djrust]

AnrDaemon,
Я нашел ошибку))))
Все правильно у вас)))
Т.к у меня "PasswordAuthentication yes" используется ,а вы писали про "PasswordAuthentication NO"

Еще раз,Спасибо!

[AnrDaemon]

у меня "PasswordAuthentication yes" используется ,а вы писали про "PasswordAuthentication NO"

А… Я стараюсь сильно не отходить от стокового конфига.
Так легче искать глюки. И легче откатываться.