Защита ssh на сервере с помощью git

Чтобы предотвратить атаки методом перебора по ssh на серверы нашего отдела, я могу использовать брандмауэр для них из большего Интернета и разрешить доступ только из подсети нашего кампуса. Я все еще могу получить к ним доступ извне через VPN или через хост-шлюз с централизованным управлением.

Но у нас запущен сервер gitlab, а git использует порт ssh. Наши пользователи gitlab находятся за пределами кампуса, а некоторые не являются сотрудниками университета и не имеют доступа к VPN или шлюзу. Если бы я настроил брандмауэр, как указано выше, я бы заблокировал их.

gitlab использует ssh с одним именем пользователя: git , и все открытые ключи пользователей gitlab находятся в git пользователя .ssh / authorized_keys с командой command = для запуска службы для конкретного запроса git. Пользователи Gitlab не получают доступа к оболочке. Только администраторы могут получить оболочки.

Это лучший подход к безопасности на сервере gitlab:

• открыть порт SSH на брандмауэре
• отключить вход по паролю на SSH
• запустить fail2ban с ssh jail

Есть ли другой способ заблокировать доступ из диапазона IP только для раздела ssh имена пользователей? т.е. разрешить ssh пользователю git из любого места и разрешить доступ ssh для любого другого имени пользователя только из нашей подсети кампуса? Я полагаю, брандмауэры не могут сделать это без проверки пакетов, так что, может быть, это что-то в конфигурации sshd ?