Re: [OT] sshd - Restringir usuarios por IP

Thu, 08 Sep 2011 23:58:26 -0700 

El 08/09/11 21:07, Marc Aymerich escribió:
>
>
> 2011/9/8 AngelD <ang...@froga.net <mailto:ang...@froga.net>>
>
>     Wed, 7 Sep 2011, Juan Antonio:
>
>         El 07/09/11 15:06, Marc Aymerich escribió:
>
>
>
>             2011/9/7 Marc Olive <marc.ol...@blauadvisors.com
>             <mailto:marc.ol...@blauadvisors.com>
>             <mailto:marc.ol...@blauadvisors.com
>             <mailto:marc.ol...@blauadvisors.com>>>
>
>
>                On Wednesday 07 September 2011 10:32:23 AngelD wrote:
>               >       Tengo una máquina con un par de IPes en la que
>             tengo usuarios
>               > "normales" y usuarios a los que sólo permito 'sftp' a unos
>                directorios con
>               > "chroot".
>               >
>               >       Necesitaría que los usuarios normales entraran
>             por la ip
>                A, y los
>               > usuarios del sftp con chroot entraran sólo por la B.
>               >
>               >       Con la directiva "Match" del 'sshd_config' puedo
>                restringir por
>               > 'User, Group, Host, Address', pero no por IP destino.
>
>                ¿No te sirve con distingirlos segun el "User" o "Group"?
>
>                No veo como vas a diferenciar la IP de entrada en
>             función del
>                usuario de ssh
>                (pienso en iptables, pero no). No hay relacion entre
>             usuario shell
>                e IP.
>
>
>             Con iptables se puede identificar el usuario con
>             --uid-owner, y se
>             puede identificar el nombre del proceso con --cmd-owner,
>             Pero por
>             desgracia a iptables le va a faltar información de nivel
>             aplicación
>             para diferencias que trafico es ssh, sftp o scp.
>
>             Marc
>
>
>         Hola,
>
>         en cualquier caso el módulo owner es válido para el tráfico que se
>         genera en el propio sistema, unicamente es válido para las cadenas
>         OUTPUT y POSTROUTING y harían coincidencia con el usuario que
>         genera el
>         tráfico ssh que en última instancia es el usuario que inició
>         el demonio
>         y no el que se logara en el sistema.
>
>
>            Es una pena no haber leído correctamente éste correo antes
>     de realizar las pruebas. Ciertamente las normas con "--uid-owner"
>     o similar no me sirven, porque lo que necesito es aplicarlas al
>     "INPUT", y como muy bien puntualizas éstas sólo se aplican a
>     OUTPUT y POSTROUTING. :-(
>
>
> Pero aplicándolo en el OUTPUT no impides que se realice la conexión?
>
> -- 
> Marc


Hola,


tienes razón Marc, pero aun le faltaría resolver la cuestión de
diferenciar el tráfico ssh del sftp, parcheando y usando l7 quiza.


Un saludo.

Responder a