El 07/09/11 16:03, Marc Aymerich escribió:
2011/9/7 Juan Antonio <pushakk@limbo.ari.es>
El 07/09/11 15:06, Marc
Aymerich escribió:
2011/9/7 Marc Olive <marc.olive@blauadvisors.com>
On Wednesday 07 September 2011 10:32:23
AngelD wrote:
> Tengo una máquina con un par de IPes
en la que tengo usuarios
> "normales" y usuarios a los que sólo
permito 'sftp' a unos directorios con
> "chroot".
>
> Necesitaría que los usuarios normales
entraran por la ip A, y los
> usuarios del sftp con chroot entraran sólo
por la B.
>
> Con la directiva "Match" del
'sshd_config' puedo restringir por
> 'User, Group, Host, Address', pero no por
IP destino.
¿No te sirve con distingirlos segun el "User" o
"Group"?
No veo como vas a diferenciar la IP de entrada en
función del usuario de ssh
(pienso en iptables, pero no). No hay relacion
entre usuario shell e IP.
Con iptables se puede identificar el usuario
con --uid-owner, y se puede identificar el nombre
del proceso con --cmd-owner, Pero por desgracia a
iptables le va a faltar información de nivel
aplicación para diferencias que trafico es ssh,
sftp o scp.
Marc
Hola,
en cualquier caso el módulo owner es válido para el tráfico
que se genera en el propio sistema, unicamente es válido
para las cadenas OUTPUT y POSTROUTING y harían coincidencia
con el usuario que genera el tráfico ssh que en última
instancia es el usuario que inició el demonio y no el que se
logara en el sistema.
Buenas Juan,
Solo descartando los paquetes salientes ya estas impidiendo
que se establezca la conexión. Por otro lado,
por cada sesión, sshd crea un nuevo hijo con uid del usuario
que lo esta usando, (seguridad).
--
Marc
Hola,
toda la razón. De todos modos creo que tu solución de usar shell no
válidas para los usuarios de sftp es mas fácil, clara y elegante.
Un saludo.
|