Ограничение входа по ssh для определенного пользователя на основе IP-адреса

Вы можете настроить брандмауэр и разрешить только определенному IP-адресу подключаться к порту 22:

/etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

table inet firewall {

    chain inbound {
        # By default, drop all traffic unless it meets a filter
        # criteria specified by the rules that follow below.
        type filter hook input priority 0; policy drop;

        # Allow traffic from established and related packets.
        ct state established,related accept

        # Drop invalid packets.
        ct state invalid drop

        # Allow loopback traffic.
        iifname lo accept

        # Allow all ICMP and IGMP traffic, but enforce a rate limit
        # to help prevent some types of flood attacks.
        ip protocol icmp limit rate 4/second accept
        ip6 nexthdr ipv6-icmp limit rate 4/second accept
        ip protocol igmp limit rate 4/second accept

        # Allow SSH on port 22 but only from 127.0.0.6
        ip saddr 127.0.0.6 tcp dport 22 accept
    }

    chain forward {
        # Drop everything (assumes this device is not a router)
        type filter hook forward priority 0; policy drop;
    }

    chain outbound {
        # Allow all outbound traffic
        type filter hook output priority 0; policy accept;
    }
}

Вы можете изменить конфигурацию sshd в/etc/ssh/sshd_config:

AllowUsers my_login@123.45.67.89 your_login@123.99.99.11....

Вы также можете указать, что некоторые пользователи могут использовать только некоторые методы аутентификации:

Match User my_login
AuthenticationMethods publickey

Но будьте осторожны с обеими точками. :вы должны иметь физический контроль или быть очень осторожным, прежде чем изменять какие-либо настройки. И я рекомендую вам также просмотреть страницу руководства для параметров AllowUsersи AuthenticationMethods, чтобы лучше понять последствия и, в конечном итоге, дополнительные параметры и методы, которые вам нужны.