El 07/09/11 16:03, Marc Aymerich escribió: > > > 2011/9/7 Juan Antonio <push...@limbo.ari.es <mailto:push...@limbo.ari.es>> > > El 07/09/11 15:06, Marc Aymerich escribió: >> >> >> 2011/9/7 Marc Olive <marc.ol...@blauadvisors.com >> <mailto:marc.ol...@blauadvisors.com>> >> >> On Wednesday 07 September 2011 10:32:23 AngelD wrote: >> > Tengo una máquina con un par de IPes en la que tengo >> usuarios >> > "normales" y usuarios a los que sólo permito 'sftp' a unos >> directorios con >> > "chroot". >> > >> > Necesitaría que los usuarios normales entraran por la >> ip A, y los >> > usuarios del sftp con chroot entraran sólo por la B. >> > >> > Con la directiva "Match" del 'sshd_config' puedo >> restringir por >> > 'User, Group, Host, Address', pero no por IP destino. >> >> ¿No te sirve con distingirlos segun el "User" o "Group"? >> >> No veo como vas a diferenciar la IP de entrada en función del >> usuario de ssh >> (pienso en iptables, pero no). No hay relacion entre usuario >> shell e IP. >> >> >> Con iptables se puede identificar el usuario con --uid-owner, y >> se puede identificar el nombre del proceso con --cmd-owner, Pero >> por desgracia a iptables le va a faltar información de nivel >> aplicación para diferencias que trafico es ssh, sftp o scp. >> >> Marc > > Hola, > > en cualquier caso el módulo owner es válido para el tráfico que se > genera en el propio sistema, unicamente es válido para las cadenas > OUTPUT y POSTROUTING y harían coincidencia con el usuario que > genera el tráfico ssh que en última instancia es el usuario que > inició el demonio y no el que se logara en el sistema. > > > Buenas Juan, > Solo descartando los paquetes salientes ya estas impidiendo que se > establezca la conexión. Por otro lado, por cada sesión, sshd crea un > nuevo hijo con uid del usuario que lo esta usando, (seguridad). > > > > -- > Marc
Hola, toda la razón. De todos modos creo que tu solución de usar shell no válidas para los usuarios de sftp es mas fácil, clara y elegante. Un saludo.