Re: [OT] sshd - Restringir usuarios por IP

[AngelD <angeld@froga.net>]

Wed, 7 Sep 2011, Marc Aymerich:

> 2011/9/7 Marc Olive <marc.olive@blauadvisors.com>
>
> > On Wednesday 07 September 2011 10:32:23 AngelD wrote:
> > >       Tengo una máquina con un par de IPes en la que tengo usuarios
> > > "normales" y usuarios a los que sólo permito 'sftp' a unos directorios
> > con
> > > "chroot".
> > >
> > >       Necesitaría que los usuarios normales entraran por la ip A, y los
> > > usuarios del sftp con chroot entraran sólo por la B.
> > >
> > >       Con la directiva "Match" del 'sshd_config' puedo restringir por
> > > 'User, Group, Host, Address', pero no por IP destino.
> >
> > ¿No te sirve con distingirlos segun el "User" o "Group"?
> >
> > No veo como vas a diferenciar la IP de entrada en función del usuario de
> > ssh
> > (pienso en iptables, pero no). No hay relacion entre usuario shell e IP.
> Con iptables se puede identificar el usuario con --uid-owner, y se puede
> identificar el nombre del proceso con --cmd-owner, Pero por desgracia a
> iptables le va a faltar información de nivel aplicación para diferencias que
> trafico es ssh, sftp o scp.

	Desconocía que se puede interceptar un usuario utilizando 
iptables. Si puedo hacer una relación entre el gid y la ip de acceso, ésta 
solución puede funcionar, y no ser muy engorrosa.

	Me voy a documentar, y ver si todo es tan bonito como lo pintas. 
:-)

--
	Saludos --- Angel