Re: [OT] sshd - Restringir usuarios por IP

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] sshd - Restringir usuarios por IP
From: Cristian Mitchell <mitchell69uk@gmail.com>
Date: Thu, 8 Sep 2011 16:55:18 -0300
Message-id: <[🔎] CALvB54bgCPc=J=ZQENeQxNg8O1cV=hk-kEvG=_v+GJ1OwTmhvw@mail.gmail.com>
In-reply-to: <[🔎] CA+DCN_v2VvZ5GFsa5faCSQrZD=PdVPTjy27T+kVpf9cWhzyi1A@mail.gmail.com>
References: <[🔎] alpine.DEB.2.00.1109070902270.1209@violet.froga.net> <[🔎] 201109071431.36759.marc.olive@blauadvisors.com> <[🔎] CA+DCN_uV7FnTbDD__9PavG_FzBXJ2RrpYvV+D0s=yi15KDHCVg@mail.gmail.com> <[🔎] 4E676E0D.90109@limbo.ari.es> <[🔎] alpine.DEB.2.00.1109081853390.5448@x61> <[🔎] CA+DCN_v2VvZ5GFsa5faCSQrZD=PdVPTjy27T+kVpf9cWhzyi1A@mail.gmail.com>

El día 8 de septiembre de 2011 16:07, Marc Aymerich
<glicerinu@gmail.com> escribió:
>
>
> 2011/9/8 AngelD <angeld@froga.net>
>>
>> Wed, 7 Sep 2011, Juan Antonio:
>>
>>> El 07/09/11 15:06, Marc Aymerich escribió:
>>>>
>>>>
>>>> 2011/9/7 Marc Olive <marc.olive@blauadvisors.com
>>>> <mailto:marc.olive@blauadvisors.com>>
>>>>
>>>>    On Wednesday 07 September 2011 10:32:23 AngelD wrote:
>>>>   >       Tengo una máquina con un par de IPes en la que tengo usuarios
>>>>   > "normales" y usuarios a los que sólo permito 'sftp' a unos
>>>>    directorios con
>>>>   > "chroot".
>>>>   >
>>>>   >       Necesitaría que los usuarios normales entraran por la ip
>>>>    A, y los
>>>>   > usuarios del sftp con chroot entraran sólo por la B.
>>>>   >
>>>>   >       Con la directiva "Match" del 'sshd_config' puedo
>>>>    restringir por
>>>>   > 'User, Group, Host, Address', pero no por IP destino.
>>>>
>>>>    ¿No te sirve con distingirlos segun el "User" o "Group"?
>>>>
>>>>    No veo como vas a diferenciar la IP de entrada en función del
>>>>    usuario de ssh
>>>>    (pienso en iptables, pero no). No hay relacion entre usuario shell
>>>>    e IP.
>>>>
>>>>
>>>> Con iptables se puede identificar el usuario con --uid-owner, y se
>>>> puede identificar el nombre del proceso con --cmd-owner, Pero por
>>>> desgracia a iptables le va a faltar información de nivel aplicación
>>>> para diferencias que trafico es ssh, sftp o scp.
>>>>
>>>> Marc
>>>
>>> Hola,
>>>
>>> en cualquier caso el módulo owner es válido para el tráfico que se
>>> genera en el propio sistema, unicamente es válido para las cadenas
>>> OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el
>>> tráfico ssh que en última instancia es el usuario que inició el demonio
>>> y no el que se logara en el sistema.
>>
>>        Es una pena no haber leído correctamente éste correo antes de
>> realizar las pruebas. Ciertamente las normas con "--uid-owner" o similar no
>> me sirven, porque lo que necesito es aplicarlas al "INPUT", y como muy bien
>> puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-(
>
> Pero aplicándolo en el OUTPUT no impides que se realice la conexión?
> --
> Marc
>

AllowUsers root@10.47.4.0/24 pirulo root@10.48.1.0/24 etc

luego denegas todo el resto


-- 
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply to:

References:
- [OT] sshd - Restringir usuarios por IP
  - From: AngelD <angeld@froga.net>
- Re: [OT] sshd - Restringir usuarios por IP
  - From: Marc Olive <marc.olive@blauadvisors.com>
- Re: [OT] sshd - Restringir usuarios por IP
  - From: Marc Aymerich <glicerinu@gmail.com>
- Re: [OT] sshd - Restringir usuarios por IP
  - From: Juan Antonio <pushakk@limbo.ari.es>
- Re: [OT] sshd - Restringir usuarios por IP
  - From: AngelD <angeld@froga.net>
- Re: [OT] sshd - Restringir usuarios por IP
  - From: Marc Aymerich <glicerinu@gmail.com>

Prev by Date: Iredmail-0.7.2
Next by Date: Re: [OT]: Restaurar imagen de máquina física hecha con Mondo Rescue en VM.
Previous by thread: Re: [OT] sshd - Restringir usuarios por IP
Next by thread: Re: [OT] sshd - Restringir usuarios por IP
Index(es):
- Date
- Thread