El 08/09/11 21:07, Marc Aymerich escribió:
2011/9/8 AngelD <angeld@froga.net>
Wed, 7 Sep 2011, Juan Antonio:
El 07/09/11 15:06, Marc Aymerich escribió:
<mailto:marc.olive@blauadvisors.com>>
On Wednesday 07 September 2011 10:32:23 AngelD
wrote:
> Tengo una máquina con un par de IPes en
la que tengo usuarios
> "normales" y usuarios a los que sólo permito
'sftp' a unos
directorios con
> "chroot".
>
> Necesitaría que los usuarios normales
entraran por la ip
A, y los
> usuarios del sftp con chroot entraran sólo por
la B.
>
> Con la directiva "Match" del
'sshd_config' puedo
restringir por
> 'User, Group, Host, Address', pero no por IP
destino.
¿No te sirve con distingirlos segun el "User" o
"Group"?
No veo como vas a diferenciar la IP de entrada en
función del
usuario de ssh
(pienso en iptables, pero no). No hay relacion
entre usuario shell
e IP.
Con iptables se puede identificar el usuario con
--uid-owner, y se
puede identificar el nombre del proceso con
--cmd-owner, Pero por
desgracia a iptables le va a faltar información de
nivel aplicación
para diferencias que trafico es ssh, sftp o scp.
Marc
Hola,
en cualquier caso el módulo owner es válido para el
tráfico que se
genera en el propio sistema, unicamente es válido para
las cadenas
OUTPUT y POSTROUTING y harían coincidencia con el
usuario que genera el
tráfico ssh que en última instancia es el usuario que
inició el demonio
y no el que se logara en el sistema.
Es una pena no haber leído correctamente éste correo
antes de realizar las pruebas. Ciertamente las normas con
"--uid-owner" o similar no me sirven, porque lo que necesito
es aplicarlas al "INPUT", y como muy bien puntualizas éstas
sólo se aplican a OUTPUT y POSTROUTING. :-(
Pero aplicándolo en el OUTPUT no impides que se realice la
conexión?
--
Marc
Hola,
tienes razón Marc, pero aun le faltaría resolver la cuestión de
diferenciar el tráfico ssh del sftp, parcheando y usando l7 quiza.
Un saludo.
|