Re: [OT] sshd - Restringir usuarios por IP
El 08/09/11 21:07, Marc Aymerich escribió: 2011/9/8 AngelD ang...@froga.net mailto:ang...@froga.net Wed, 7 Sep 2011, Juan Antonio: El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Es una pena no haber leído correctamente éste correo antes de realizar las pruebas. Ciertamente las normas con --uid-owner o similar no me sirven, porque lo que necesito es aplicarlas al INPUT, y como muy bien puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-( Pero aplicándolo en el OUTPUT no impides que se realice la conexión? -- Marc Hola, tienes razón Marc, pero aun le faltaría resolver la cuestión de diferenciar el tráfico ssh del sftp, parcheando y usando l7 quiza. Un saludo.
Re: [OT] sshd - Restringir usuarios por IP
El 07/09/11 16:03, Marc Aymerich escribió: 2011/9/7 Juan Antonio push...@limbo.ari.es mailto:push...@limbo.ari.es El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Buenas Juan, Solo descartando los paquetes salientes ya estas impidiendo que se establezca la conexión. Por otro lado, por cada sesión, sshd crea un nuevo hijo con uid del usuario que lo esta usando, (seguridad). -- Marc Hola, toda la razón. De todos modos creo que tu solución de usar shell no válidas para los usuarios de sftp es mas fácil, clara y elegante. Un saludo.
Re: [OT] sshd - Restringir usuarios por IP
Wed, 7 Sep 2011, Juan Antonio: El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Es una pena no haber leído correctamente éste correo antes de realizar las pruebas. Ciertamente las normas con --uid-owner o similar no me sirven, porque lo que necesito es aplicarlas al INPUT, y como muy bien puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-( -- Saludos --- Angel
Re: [OT] sshd - Restringir usuarios por IP
2011/9/8 AngelD ang...@froga.net Wed, 7 Sep 2011, Juan Antonio: El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com mailto:marc.olive@**blauadvisors.com marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Es una pena no haber leído correctamente éste correo antes de realizar las pruebas. Ciertamente las normas con --uid-owner o similar no me sirven, porque lo que necesito es aplicarlas al INPUT, y como muy bien puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-( Pero aplicándolo en el OUTPUT no impides que se realice la conexión? -- Marc
Re: [OT] sshd - Restringir usuarios por IP
El día 8 de septiembre de 2011 16:07, Marc Aymerich glicer...@gmail.com escribió: 2011/9/8 AngelD ang...@froga.net Wed, 7 Sep 2011, Juan Antonio: El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Es una pena no haber leído correctamente éste correo antes de realizar las pruebas. Ciertamente las normas con --uid-owner o similar no me sirven, porque lo que necesito es aplicarlas al INPUT, y como muy bien puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-( Pero aplicándolo en el OUTPUT no impides que se realice la conexión? -- Marc AllowUsers root@10.47.4.0/24 pirulo root@10.48.1.0/24 etc luego denegas todo el resto -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CALvB54bgCPc=J=ZQENeQxNg8O1cV=hk-kEvG=_v+gj1owtm...@mail.gmail.com
Re: [OT] sshd - Restringir usuarios por IP
On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Saludos, -- Marc Olivé Blau Advisors www.blauadvisors.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109071431.36759.marc.ol...@blauadvisors.com
Re: [OT] sshd - Restringir usuarios por IP
On 09/07/2011 09:31 AM, Marc Olive wrote: On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Saludos, Si entendí bien, necesita que algunos usuarios entren por la IP x.x.x.x y otros por la y.y.y.y. ¿No basta que los usuarios normales utilicen la x.x.x.x para conectarse al servidor, y los del sftp por la y.y.y.y? Ya que van a apuntar a la IP en el de establecer la conexión... En todo caso, por firewall, hacés que las IP de unos usuarios sólo puedan llegar a x.x.x.x y tengan el acceso bloqueado a y.y.y.y, y viceversa. -- Santiago López Denazis Open your source, open your mind. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e6765d0.5080...@gmail.com
Re: [OT] sshd - Restringir usuarios por IP
On Wed, Sep 07, 2011 at 10:32:23AM +0200, AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿Se le ocurre a alguien una alternativa para no tener dos demonios lanzados con dos configuraciones diferentes?. Revisa AllowUsers en el manual de sshd_config. -- Pablo Jiménez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110907123324.gg2...@example.net
Re: [OT] sshd - Restringir usuarios por IP
Wed, 7 Sep 2011, López Denazis Santiago: On 09/07/2011 09:31 AM, Marc Olive wrote: On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Saludos, Si entendí bien, necesita que algunos usuarios entren por la IP x.x.x.x y otros por la y.y.y.y. ¿No basta que los usuarios normales utilicen la x.x.x.x para conectarse al servidor, y los del sftp por la y.y.y.y? Ya que van a apuntar a la IP en el de establecer la conexión... En todo caso, por firewall, hacés que las IP de unos usuarios sólo puedan llegar a x.x.x.x y tengan el acceso bloqueado a y.y.y.y, y viceversa. El problema viene porque desconozco por que ip vienen los usuarios, por lo que no puedo separar usuarios po IP origen, sino usaría la directiva Match Addrress. Lo del fireball no es viable, porque si sólo uso un demonio, una vez que llegas a cualquiera de las ip'es, puedes logearte con cualquier usuario. -- Saludos --- Angel
Re: [OT] sshd - Restringir usuarios por IP
Wed, 7 Sep 2011, Pablo Jiménez: On Wed, Sep 07, 2011 at 10:32:23AM +0200, AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿Se le ocurre a alguien una alternativa para no tener dos demonios lanzados con dos configuraciones diferentes?. Revisa AllowUsers en el manual de sshd_config. No entiendo esta respuesta. AllowUsers proporciona una lista de usuarios y máquinas, dominios o ipes autorizados, pero se discrimina por origen, no por destino. ¿Cómo se supone que voy a utilizar AllowUsers para autorizar sólo ciertos usuarios a la ip A, y a otros sólo a la B?. -- Saludos --- Angel
Re: [OT] sshd - Restringir usuarios por IP
2011/9/7 Marc Olive marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc
Re: [OT] sshd - Restringir usuarios por IP
2011/9/7 Marc Aymerich glicer...@gmail.com 2011/9/7 Marc Olive marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Angel, un mismo usuario puede usar ssh y sftp? Si es que no iptables si que te lo permitiria. -- Marc
Re: [OT] sshd - Restringir usuarios por IP
On 09/07/2011 10:09 AM, Marc Aymerich wrote: 2011/9/7 Marc Aymerichglicer...@gmail.com Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Angel, un mismo usuario puede usar ssh y sftp? Si es que no iptables si que te lo permitiria. Lo que se me ocurriría es utilizar puertos diferentes para ssh y sftp, entonces redirigir las conexiones dependiendo del puerto, pero, ¿sería posible utilizar puertos distintos para ssh y sftp? -- Santiago López Denazis Open your source, open your mind. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e676ddf.3030...@gmail.com
Re: [OT] sshd - Restringir usuarios por IP
On 09/07/2011 10:13 AM, López Denazis Santiago wrote: On 09/07/2011 10:09 AM, Marc Aymerich wrote: 2011/9/7 Marc Aymerichglicer...@gmail.com Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Angel, un mismo usuario puede usar ssh y sftp? Si es que no iptables si que te lo permitiria. Lo que se me ocurriría es utilizar puertos diferentes para ssh y sftp, entonces redirigir las conexiones dependiendo del puerto, pero, ¿sería posible utilizar puertos distintos para ssh y sftp? Perdón por el mensaje doble, parece que no cancelé a tiempo el envío cuando vi que escribí 'utilisar' en lugar de 'utilizar'.. =) -- Santiago López Denazis Open your source, open your mind. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e676e3f.5090...@gmail.com
Re: [OT] sshd - Restringir usuarios por IP
El Wed, 07 Sep 2011 10:32:23 +0200, AngelD escribió: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. (...) ¿Con qué objetivo, cuál es la finalidad? Entiendo que están todos en la misma red física ¿no? entonces ¿qué ganas con esa diferenciación? Lo más sencillo sería forzar la conexión a la IP desde el propio cliente pero ahí ya entran en juego otros factores más allá de ssh. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2011.09.07.13.17...@gmail.com
Re: [OT] sshd - Restringir usuarios por IP
El día 7 de septiembre de 2011 10:32, AngelD ang...@froga.net escribió: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿Se le ocurre a alguien una alternativa para no tener dos demonios lanzados con dos configuraciones diferentes?. -- Saludos --- Angel No sé, lo que pides es complicado, no creo que con una sola instancia de sshd puedas. Lo que si puedes es decirle a sshd por que ip escuchar con: ListenAddress 70.5.1.1 Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAGw=rHgLig335WZ9XNK=hTFA89_dogi=fvpy1lp4qkvbhl8...@mail.gmail.com
Re: [OT] sshd - Restringir usuarios por IP
On 09/07/2011 10:13 AM, López Denazis Santiago wrote: On 09/07/2011 10:09 AM, Marc Aymerich wrote: 2011/9/7 Marc Aymerichglicer...@gmail.com Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Angel, un mismo usuario puede usar ssh y sftp? Si es que no iptables si que te lo permitiria. Lo que se me ocurriría es utilizar puertos diferentes para ssh y sftp, entonces redirigir las conexiones dependiendo del puerto, pero, ¿sería posible utilizar puertos distintos para ssh y sftp? Acá hablan de eso == http://www.gossamer-threads.com/lists/openssh/users/38065 -- Santiago López Denazis Open your source, open your mind. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e676fb9.3090...@gmail.com
Re: [OT] sshd - Restringir usuarios por IP
El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com mailto:marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Un saludo.
Re: [OT] sshd - Restringir usuarios por IP
2011/9/7 Juan Antonio push...@limbo.ari.es El 07/09/11 15:06, Marc Aymerich escribió: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Marc Hola, en cualquier caso el módulo owner es válido para el tráfico que se genera en el propio sistema, unicamente es válido para las cadenas OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el tráfico ssh que en última instancia es el usuario que inició el demonio y no el que se logara en el sistema. Buenas Juan, Solo descartando los paquetes salientes ya estas impidiendo que se establezca la conexión. Por otro lado, por cada sesión, sshd crea un nuevo hijo con uid del usuario que lo esta usando, (seguridad). -- Marc
Re: [OT] sshd - Restringir usuarios por IP
Wed, 7 Sep 2011, Camaleón: El Wed, 07 Sep 2011 10:32:23 +0200, AngelD escribió: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. (...) ¿Con qué objetivo, cuál es la finalidad? Entiendo que están todos en la misma red física ¿no? entonces ¿qué ganas con esa diferenciación? Gano que puedo deshabilitar uno de los servicios, y sus usuarios, en un momento dado, con eliminar la ip sería suficiente. -- Saludos --- Angel
Re: [OT] sshd - Restringir usuarios por IP
Wed, 7 Sep 2011, Marc Aymerich: 2011/9/7 Marc Olive marc.ol...@blauadvisors.com On Wednesday 07 September 2011 10:32:23 AngelD wrote: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. Con la directiva Match del 'sshd_config' puedo restringir por 'User, Group, Host, Address', pero no por IP destino. ¿No te sirve con distingirlos segun el User o Group? No veo como vas a diferenciar la IP de entrada en función del usuario de ssh (pienso en iptables, pero no). No hay relacion entre usuario shell e IP. Con iptables se puede identificar el usuario con --uid-owner, y se puede identificar el nombre del proceso con --cmd-owner, Pero por desgracia a iptables le va a faltar información de nivel aplicación para diferencias que trafico es ssh, sftp o scp. Desconocía que se puede interceptar un usuario utilizando iptables. Si puedo hacer una relación entre el gid y la ip de acceso, ésta solución puede funcionar, y no ser muy engorrosa. Me voy a documentar, y ver si todo es tan bonito como lo pintas. :-) -- Saludos --- Angel
Re: [OT] sshd - Restringir usuarios por IP
El Wed, 07 Sep 2011 18:37:50 +0200, AngelD escribió: Wed, 7 Sep 2011, Camaleón: El Wed, 07 Sep 2011 10:32:23 +0200, AngelD escribió: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. (...) ¿Con qué objetivo, cuál es la finalidad? Entiendo que están todos en la misma red física ¿no? entonces ¿qué ganas con esa diferenciación? Gano que puedo deshabilitar uno de los servicios, y sus usuarios, en un momento dado, con eliminar la ip sería suficiente. ¿A qué servicios -en plural- te refieres? Lo que puedes hacer es lo que te han comentado antes, utilizar dos IP dedicadas en las que escucha sshd¹ pero aún así el cliente tendría que conectarse manualmente a la que decidas, es decir, no sería una conexión forzada sino opcional, nada impediría al usuario a utilizar la otra IP siempre y cuando estén en la misma subred y ésta sea accesible (salvo, que uses alguna restricción externa a ssh, es decir, cortafuegos o enrutamiento de por medio para bloquear o redirigir el tráfico). ¹http://www.debianadmin.com/howto-bind-ssh-to-selected-ip-address.html Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2011.09.07.17.12...@gmail.com
Re: [OT] sshd - Restringir usuarios por IP
2011/9/7 AngelD ang...@froga.net Wed, 7 Sep 2011, Camaleón: El Wed, 07 Sep 2011 10:32:23 +0200, AngelD escribió: Tengo una máquina con un par de IPes en la que tengo usuarios normales y usuarios a los que sólo permito 'sftp' a unos directorios con chroot. Necesitaría que los usuarios normales entraran por la ip A, y los usuarios del sftp con chroot entraran sólo por la B. (...) ¿Con qué objetivo, cuál es la finalidad? Entiendo que están todos en la misma red física ¿no? entonces ¿qué ganas con esa diferenciación? Gano que puedo deshabilitar uno de los servicios, y sus usuarios, en un momento dado, con eliminar la ip sería suficiente. Si solo es eso también puedes configurar esos usuarios para que usen una shell especial que lo único que les permita hacer sea securecopys y sftps. En el momento que quieras deshabilitar esos servicios haces que su shell pase a ser /bin/false por ejemplo, y ya no podrán logearse. -- Marc
