Linux限制SSH登录IP方法

在Linux系统中，限制SSH登录IP的最可靠、最精准的方法是直接使用sshd原生配置——优先采用`sshd_config`中的`Match Address`配合`AllowUsers`或`DenyUsers`，它支持CIDR网段、多条件嵌套且不依赖外部组件；而传统的`/etc/hosts.allow`因现代OpenSSH默认不链接`libwrap`已基本失效，iptables虽能在网络层快速拦截，却无法区分用户、不兼容高级SSH特性（如端口转发）、易受多网卡和容器环境影响，仅适合作为暴力破解防护的补充手段；真正“一劳永逸”的方案，反而是通过`ListenAddress`限定SSH仅监听可信内网接口——从源头杜绝外网连接可能。

SSH登录IP限制该用/etc/hosts.allow还是iptables？

直接说结论：优先用sshd自带的AllowUsers或Match Address，/etc/hosts.allow已过时且不可靠；iptables（或nftables）适合网络层粗粒度封禁，但无法区分同一IP下的不同用户。

原因很简单：hosts.allow依赖tcp_wrappers，而现代OpenSSH默认编译时已不启用它（ldd $(which sshd) | grep libwrap无输出即未链接）。强行配置/etc/hosts.allow可能完全不生效，还误以为“已经加了白名单”。

• sshd配置更精准：支持按用户、IP、甚至端口条件匹配
• iptables规则在连接建立前就拦截，但无法处理密钥认证、端口转发等高级场景
• 若系统已启用systemd的sshd.socket激活机制，tcp_wrappers根本不会被调用

用sshd_config实现IP白名单的正确写法

核心是Match Address块——它比AllowUsers更灵活，能嵌套条件，且不依赖外部服务。

示例：只允许192.168.1.0/24和2001:db8::/32网段的admin用户登录：

Match Address 192.168.1.0/24,2001:db8::/32
    AllowUsers admin
Match Address *
    DenyUsers *

• Match Address支持CIDR、主机名、通配符（如10.*），但不支持正则
• 必须放在sshd_config末尾，且DenyUsers *要写在最后的Match块里才生效
• 改完后必须运行sudo systemctl reload sshd（不是restart），否则连接会断
• 测试时务必留一个未受限的备用连接，否则可能锁死自己

hosts.allow还能用吗？什么情况下会失效

能用，但仅限于确认sshd确实链接了libwrap的老系统（如CentOS 6、Debian 9之前），且没启用UsePAM yes——因为PAM会绕过tcp_wrappers。

常见失效现象：

• 明明写了sshd: 192.168.1.100，但192.168.1.101照样能连上
• sshd -T | grep usepam返回usepam yes，此时hosts.allow被忽略
• systemctl status sshd显示Loaded: loaded (/usr/lib/systemd/system/sshd.service; ...)而非sshd.socket，但依然不生效——说明编译时没带--with-libwrap

验证是否启用：sshd -T 2>/dev/null | grep -i wrap，无输出即未启用。

为什么别把iptables当白名单主力

iptables -A INPUT -p tcp --dport 22 ! -s 192.168.1.0/24 -j DROP看似简单，但实际埋雷：

• 所有非匹配IP的TCP连接都会被DROP，包括健康检查、监控探活，可能触发误告警
• 如果服务器有多个网卡（如eth0公网 + eth1内网），-s匹配的是源IP，但路由可能让流量从另一接口进来，规则失效
• 无法区分root和普通用户——你只想限制root远程登录，但iptables做不到
• 容器或Kubernetes环境里，宿主机iptables对Pod内发起的SSH不生效

真正该用iptables的地方，是封禁暴力破解IP（配合fail2ban），而不是做业务白名单。

最易被忽略的一点：SSH配置里的ListenAddress。如果只要内网访问，直接在sshd_config里写ListenAddress 192.168.1.5，比任何白名单都干净——外网连不到端口，自然谈不上认证。但这要求你清楚服务器有多少个IP、哪个是可信接口。

以上就是《Linux限制SSH登录IP方法》的详细内容，更多关于的资料请关注golang学习网公众号！