Re: [OT] sshd - Restringir usuarios por IP
El día 8 de septiembre de 2011 16:07, Marc Aymerich
<glicerinu@gmail.com> escribió:
>
>
> 2011/9/8 AngelD <angeld@froga.net>
>>
>> Wed, 7 Sep 2011, Juan Antonio:
>>
>>> El 07/09/11 15:06, Marc Aymerich escribió:
>>>>
>>>>
>>>> 2011/9/7 Marc Olive <marc.olive@blauadvisors.com
>>>> <mailto:marc.olive@blauadvisors.com>>
>>>>
>>>> On Wednesday 07 September 2011 10:32:23 AngelD wrote:
>>>> > Tengo una máquina con un par de IPes en la que tengo usuarios
>>>> > "normales" y usuarios a los que sólo permito 'sftp' a unos
>>>> directorios con
>>>> > "chroot".
>>>> >
>>>> > Necesitaría que los usuarios normales entraran por la ip
>>>> A, y los
>>>> > usuarios del sftp con chroot entraran sólo por la B.
>>>> >
>>>> > Con la directiva "Match" del 'sshd_config' puedo
>>>> restringir por
>>>> > 'User, Group, Host, Address', pero no por IP destino.
>>>>
>>>> ¿No te sirve con distingirlos segun el "User" o "Group"?
>>>>
>>>> No veo como vas a diferenciar la IP de entrada en función del
>>>> usuario de ssh
>>>> (pienso en iptables, pero no). No hay relacion entre usuario shell
>>>> e IP.
>>>>
>>>>
>>>> Con iptables se puede identificar el usuario con --uid-owner, y se
>>>> puede identificar el nombre del proceso con --cmd-owner, Pero por
>>>> desgracia a iptables le va a faltar información de nivel aplicación
>>>> para diferencias que trafico es ssh, sftp o scp.
>>>>
>>>> Marc
>>>
>>> Hola,
>>>
>>> en cualquier caso el módulo owner es válido para el tráfico que se
>>> genera en el propio sistema, unicamente es válido para las cadenas
>>> OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el
>>> tráfico ssh que en última instancia es el usuario que inició el demonio
>>> y no el que se logara en el sistema.
>>
>> Es una pena no haber leído correctamente éste correo antes de
>> realizar las pruebas. Ciertamente las normas con "--uid-owner" o similar no
>> me sirven, porque lo que necesito es aplicarlas al "INPUT", y como muy bien
>> puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-(
>
> Pero aplicándolo en el OUTPUT no impides que se realice la conexión?
> --
> Marc
>
AllowUsers root@10.47.4.0/24 pirulo root@10.48.1.0/24 etc
luego denegas todo el resto
--
MrIX
Linux user number 412793.
http://counter.li.org/
las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,
Reply to: