应通过设定终端接入方式、网络地址范围等条件限制终端登录。

对接入服务器的IP、方式等进行限制，可以阻止非法入侵。

---Centos8使用白名单与黑名单的另一种方式

vim /etc/ssh/sshd_config

AllowUsers  192.168.1.1

DenyUsers root@IP

DenyUsers  *@*

allowusers root@192.168.120.221 root@192.168.120.100
-将允许admin组使用ssh。
echo "AllowGroups admin" >> /etc/ssh/sshd_config
-检查是否添加成功。
cat /etc/ssh/sshd_config | grep -i allowgroups
AllowGroups admin
-查看属于该用户组的用户有哪些。
getent group admin
-其中可以使用"*"和"?"通配符)

systemctl restart sshd

-允许 aliyun 和从 192.168.1.1 登录的 test 帐户通过 SSH 登录系统。

AllowUsers    aliyun test@192.168.1.1            

-拒绝 zhangsan、aliyun 帐户通过 SSH 登录系统

DenyUsers    zhangsan aliyun    #Linux系统账户        

---centos7

1) 在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制

vi  /etc/hosts.deny

# Deny access to everyone. 
ALL:ALL@ALL, PARANOID
# 表示禁止所有ip访问 sshd 这个进程
sshd:all 
# 禁止了192.168.1.2远程访问sshd进程
sshd:192.168.1.2

vi  /etc/hosts.allow

ftp: 202.54.15.99 foo.com
sshd:192.168.1.2
-只允许ip为192.168.1.2登陆到sshd

-202.54.15.99是允许访问 ftp 服务的 IP 地址

-foo.com 是允许访问 ftp 服务的主机名称。