2011/9/7 Juan Antonio <push...@limbo.ari.es> > El 07/09/11 15:06, Marc Aymerich escribió: > > > > 2011/9/7 Marc Olive <marc.ol...@blauadvisors.com> > >> On Wednesday 07 September 2011 10:32:23 AngelD wrote: >> > Tengo una máquina con un par de IPes en la que tengo usuarios >> > "normales" y usuarios a los que sólo permito 'sftp' a unos directorios >> con >> > "chroot". >> > >> > Necesitaría que los usuarios normales entraran por la ip A, y los >> > usuarios del sftp con chroot entraran sólo por la B. >> > >> > Con la directiva "Match" del 'sshd_config' puedo restringir por >> > 'User, Group, Host, Address', pero no por IP destino. >> >> ¿No te sirve con distingirlos segun el "User" o "Group"? >> >> No veo como vas a diferenciar la IP de entrada en función del usuario de >> ssh >> (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. >> > > Con iptables se puede identificar el usuario con --uid-owner, y se puede > identificar el nombre del proceso con --cmd-owner, Pero por desgracia a > iptables le va a faltar información de nivel aplicación para diferencias que > trafico es ssh, sftp o scp. > > Marc > > > Hola, > > en cualquier caso el módulo owner es válido para el tráfico que se genera > en el propio sistema, unicamente es válido para las cadenas OUTPUT y > POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh > que en última instancia es el usuario que inició el demonio y no el que se > logara en el sistema. >
Buenas Juan, Solo descartando los paquetes salientes ya estas impidiendo que se establezca la conexión. Por otro lado, por cada sesión, sshd crea un nuevo hijo con uid del usuario que lo esta usando, (seguridad). -- Marc
