Dica rápida mas bem útil para quer precisa fazer controles mais "aprimorados" sobre uma conexão SSH.

Estava/estou eu estudando para a prova a LPI-202, e na parte do SSH descubro esse "diamante", que me foi de grande surpresa, pois eu não conhecia, geralmente é mais conhecido/utilizado para aplicar alguma limitação no acesso ao SSH as opções DenyUsers, AllowUsers, DenyGroups, AllowGroups, que pelos nomes já são auto explicativas, mas são bem "engessadas" e limitadas a acesso ou bloqueio.

Para contornar isso podemos utilizar da opção "Match", com ela podemos ser bem mais flexíveis em todos os sentidos.

Obs.:

• As configurações aplicadas no "Match" sobrescrevem as opções globais.
• Configurações são feitas no /etc/ssh/sshd_config, eu adicionei no final do arquivo.

Liberar o X11Forwarding apenas para usuário Batatinha:


Liberar o X11Forwarding apenas para IP X:


Liberar o login como root com senha apenas para os IPs (vários ou poderia ser um apenas) X, Y:


Liberar o login como root com senha, apenas para os IPs X, Y, Z e host ssh.teste.com:


Liberar o login como root com senha apenas quando for do usuário batatinha mas da rede X:


Bloquear logins de qualquer usuário, quando a origem for a rede X:


Bloqueia todos usuários menos o batatinha:


E muito mais pode ser feito....

Acredito que essa opção abra um leque bem maior de configurações.

Espero que seja útil.

Abraço.

Caso queira ver mais opções:

• How to allow root login from one IP address with ssh public keys only - nixCraft
• Limit access to openssh features with the Match option - Raymii.org