El 08/09/11 21:07, Marc Aymerich escribió:
2011/9/8 AngelD <angeld@froga.net>
Wed, 7 Sep 2011, Juan Antonio:
El 07/09/11 15:06, Marc Aymerich escribió:
<mailto:marc.olive@blauadvisors.com>>
On Wednesday 07 September 2011 10:32:23 AngelD
wrote:
> Tengo una máquina con un par de IPes en
la que tengo usuarios
> "normales" y usuarios a los que sólo permito
'sftp' a unos
directorios con
> "chroot".
>
> Necesitaría que los usuarios normales
entraran por la ip
A, y los
> usuarios del sftp con chroot entraran sólo por
la B.
>
> Con la directiva "Match" del
'sshd_config' puedo
restringir por
> 'User, Group, Host, Address', pero no por IP
destino.
¿No te sirve con distingirlos segun el "User" o
"Group"?
No veo como vas a diferenciar la IP de entrada en
función del
usuario de ssh
(pienso en iptables, pero no). No hay relacion
entre usuario shell
e IP.
Con iptables se puede identificar el usuario con
--uid-owner, y se
puede identificar el nombre del proceso con
--cmd-owner, Pero por
desgracia a iptables le va a faltar información de
nivel aplicación
para diferencias que trafico es ssh, sftp o scp.
Marc
Hola,
en cualquier caso el módulo owner es válido para el
tráfico que se
genera en el propio sistema, unicamente es válido para
las cadenas
OUTPUT y POSTROUTING y harían coincidencia con el
usuario que genera el
tráfico ssh que en última instancia es el usuario que
inició el demonio
y no el que se logara en el sistema.
Es una pena no haber leído correctamente éste correo
antes de realizar las pruebas. Ciertamente las normas con
"--uid-owner" o similar no me sirven, porque lo que necesito
es aplicarlas al "INPUT", y como muy bien puntualizas éstas
sólo se aplican a OUTPUT y POSTROUTING. :-(
Pero aplicándolo en el OUTPUT no impides que se realice la
conexión?
Marc
Hola,
tienes razón Marc, pero aun le faltaría resolver la cuestión de
diferenciar el tráfico ssh del sftp, parcheando y usando l7 quiza.
Un saludo.
|