将 AllowUsers 限制为来自 Github 操作的特定 IP
Limit AllowUsers to specific IPs from Github actions
作为安全措施,我的服务器上有:
AllowUsers username@myip
开启
/etc/ssh/sshd_config
所以只有我,或者知道我 ip 的人可以登录。
现在我需要在 github 上使用一个操作来开始进行自动部署 (rsync)。
我可以评论该行并且它工作正常,但我相信一个好的做法是设置如下内容:
AllowUsers username@myip username@githubip
因为他们可能有大量的 ips,我不知道该怎么做。
如有任何帮助,我们将不胜感激。
根据文档你应该可以使用
AllowUsers username@myip username@github.com
这当然会引入 DNS 查找惩罚。但这可能比添加过多的 IP 地址更可取。或者,您可以在遇到问题时在 /etc/hosts 中为每个 IP 输入条目。
GitHub 公布它用于各种系统的 IP 地址 in its API。因此,您可以下载操作条目并根据需要使用它们。
但是,我要指出的是,此列表随时可能更改,并且它还包含 2100 多个条目,因此将所有这些条目添加到您的配置文件中可能不是最佳选择,因为它可能会影响表现。如果您决定这样做,编写脚本是明智的。
我的建议是采用不基于 IP 的不同登录方法。
作为安全措施,我的服务器上有:
AllowUsers username@myip
开启
/etc/ssh/sshd_config
所以只有我,或者知道我 ip 的人可以登录。
现在我需要在 github 上使用一个操作来开始进行自动部署 (rsync)。
我可以评论该行并且它工作正常,但我相信一个好的做法是设置如下内容:
AllowUsers username@myip username@githubip
因为他们可能有大量的 ips,我不知道该怎么做。
如有任何帮助,我们将不胜感激。
根据文档你应该可以使用
AllowUsers username@myip username@github.com
这当然会引入 DNS 查找惩罚。但这可能比添加过多的 IP 地址更可取。或者,您可以在遇到问题时在 /etc/hosts 中为每个 IP 输入条目。
GitHub 公布它用于各种系统的 IP 地址 in its API。因此,您可以下载操作条目并根据需要使用它们。
但是,我要指出的是,此列表随时可能更改,并且它还包含 2100 多个条目,因此将所有这些条目添加到您的配置文件中可能不是最佳选择,因为它可能会影响表现。如果您决定这样做,编写脚本是明智的。
我的建议是采用不基于 IP 的不同登录方法。