ssh安全只允许用户从指定的IP登陆

一、编辑ssh的配置文件默认 vim /etc/ssh/sshd_config

二、在文件最后面另起一行添加 AllowUsers root@ip

三、保存退出，重新启动下ssh

四、我们另外启动一个窗口进行连接测试是否正常允许指定的IP登陆了，使用其他的IP进行测试下或者请朋友帮忙ssh看下。使用其它IP是登陆不了的，即使输入正确的密码。

五、如果公司或者自己家里不是固定IP的，我们可以使用动态域名进行设置
AllowUsers root@域名或者ip地址或者网段

六、限制某个用户或者ip登录

DenyUsers www john         #www john为用户名
DenyUsers root@域名或者ip地址或者网段

扩展

在centos6中，指定或者限制服务器只允许指定IP登陆方法
一、在/etc/hosts.allow与/etc/hosts.deny中定义
优先级为先检查/etc/hosts.deny，再检查/etc/hosts.allow， 后者设定可越过前者限制(先走允许规则，再走拒绝规则)，

1.限制所有的ssh，除了从218.64.87.0网段进来的用户
/etc/hosts.deny: 
sshd:ALL      #拒绝所有ssh连接

/etc/hosts.allow: 
sshd:218.64.87.0/255.255.255.0 

==========================================
2.封掉218.64.87.0网段的telnet 
/etc/hosts.deny 
telnetd:218.64.87.0/255.255.255.0

==========================================
3.限制所有的TCP连接，除了从218.64.87.0网段进来的用户 
/etc/hosts.deny 
ALL:ALL 

/etc/hosts.allow 
ALL:218.64.87.0/255.255.255.0 
==========================================

其中冒号前面是TCP daemon的服务进程名称，通常系统 
进程在/etc/xinetd.conf中指定，比如in.ftpd，in.telnetd，in.sshd 

==========================================
其中IP地址范围的写法有若干中，主要的三种是： 
1.网络地址——子网掩码方式： 
218.64.87.0/255.255.255.0 

2.网络地址方式
218.64.（即以218.64打头的IP地址） 

==========================================
设置好后，要重新启动
/etc/rc.d/init.d/xinetd restart
/etc/rc.d/init.d/network restart

二、iptables 防火墙

单个IP的命令是 
iptables -I INPUT -s 59.151.119.180 -j DROP 

封IP段的命令是 
iptables -I INPUT -s 211.1.0.0/16 -j DROP 

封整个段的命令是 
iptables -I INPUT -s 211.0.0.0/8 -j DROP 

封几个段的命令是 
iptables -I INPUT -s 61.37.80.0/24 -j DROP 
service   iptables   save 

解封： 
iptables -L INPUT 
iptables -L --line-numbers 然后iptables -D INPUT 序号