sshdでクライアントのIPアドレスで、ログイン可能なユーザを制限する

ユーザ	ログイン可能なアドレス
everywhere	anyから可能
admin	IPアドレスを制限 192.168.0.128/25を許可

クライアント側での操作:from 192.168.0.127

$ ifconfig | head -n 20 
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
    ether **:**:**:**;**;**
    inet6 **** prefixlen 64 secured scopeid 0x5 
    inet 192.168.0.127 netmask 0xffffff00 broadcast 192.168.0.255
    nd6 options=201<PERFORMNUD,DAD>
    media: autoselect
    status: active

admin は制限

$ ssh admin@vm-dmz.hrsk 
admin@vm-dmz.hrsk's password: 
Permission denied, please try again.
admin@vm-dmz.hrsk's password: 

everywhere は許可

$ ssh everywhere@vm-dmz.hrsk

sshd-server側のログ

$ sudo systemctl status -l sshd 
[sudo] ****** のパスワード:
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since 木 2019-04-25 02:48:40 JST; 10min ago
     Docs: man:sshd(8)
           man:sshd_config(5)
 Main PID: 16680 (sshd)
   CGroup: /system.slice/sshd.service
           └─16680 /usr/sbin/sshd -D

#### adminは拒否(from 192.168.0.127)
 4月 25 02:58:33 vm-dmz.hrsk sshd[17377]: User admin from 192.168.0.127 not allowed because not listed in AllowUsers
 4月 25 02:58:33 vm-dmz.hrsk sshd[17377]: input_userauth_request: invalid user admin [preauth]
 4月 25 02:58:36 vm-dmz.hrsk sshd[17377]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.127  user=admin
 4月 25 02:58:38 vm-dmz.hrsk sshd[17377]: Failed password for invalid user admin from 192.168.0.127 port 65440 ssh2
 4月 25 02:58:39 vm-dmz.hrsk sshd[17377]: Connection closed by 192.168.0.127 port 65440 [preauth]

#### eeverywhereは許可(from 192.168.0.127)
 4月 25 02:58:46 vm-dmz.hrsk sshd[17382]: Accepted publickey for everywhere from 192.168.0.127 port 65441 ssh2: RSA SHA256:****

sshd_config

Protocol 2                       # use ssh-protool v2
PermitRootLogin no               # rootはリモートログイン不可
PubkeyAuthentication yes         # 公開鍵認証を使用可
PasswordAuthentication yes       # パスワード認証を使用可
PermitEmptyPasswords no          # パスワードなしはログイン不可

....
AllowUsers everyone
AllowUsers auditor@192.168.0.0/16
AllowUsers admin@192.168.0.128/25  # allow 0.128-255
....

最後に

実務でNWを見ている。クライアントIPとサーバIPの組み合わせでセキュリテイ区画を区切っているが、開発工程で（本番化前、後）細々と可否設定が必要。なんでもNW機器のACLで制限させようとするが、サーバでもやりたいことができるという反証。