配置前需要知道的事情

OpenSSH6.7开始默认关闭TCPwrappers支持，所以在OpenSSH6.7版本以上使用hosts.allow和hosts.deny不会生效

hosts.allow文件和hosts.deny文件

文件位置/etc/下
hosts.allow中设置允许SSH访问的IP或IP段
hosts.deny中设置禁止SSH访问的IP或IP段
当hosts.allow与hosts.deny配置冲突时，以hosts.allow为准
hosts.allow/hosts.deny格式为:

允许/拒绝IP段访问
sshd:192.168.x.x
允许/拒绝IP访问
sshd:192.168.1.2
允许/拒绝所有访问
sshd:all

配置后可能有配置不生效的情况，这时需要检查一下服务是否应用了libwrapped库文件

# ldd /usr/sbin/sshd |grep libwrap.so.0

执行上面代码块中的命令后若没有返回值说明ssh服务未应用libwrapped库文件。使用yum重新安装ssh即可解决问题

# yum -y remove openssh
# yum -y install openssh openssh-server

firewalld

取消默认开启的没有访问限制的ssh服务，让ssh服务默认情况下拒绝连接

firewall-cmd --permanent --remove-service=ssh

允许ip或ip段访问22端口的ssh服务

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept"

取消ip或ip段访问22端口的ssh服务

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept"

重载firewall配置，使其生效

firewall-cmd --reload

查看规则

firewall-cmd --zone=public --list-rich-rules