Wed, 7 Sep 2011, Juan Antonio:
El 07/09/11 15:06, Marc Aymerich escribió:
2011/9/7 Marc Olive <marc.ol...@blauadvisors.com
<mailto:marc.ol...@blauadvisors.com>>
On Wednesday 07 September 2011 10:32:23 AngelD wrote:
> Tengo una máquina con un par de IPes en la que tengo usuarios
> "normales" y usuarios a los que sólo permito 'sftp' a unos
directorios con
> "chroot".
>
> Necesitaría que los usuarios normales entraran por la ip
A, y los
> usuarios del sftp con chroot entraran sólo por la B.
>
> Con la directiva "Match" del 'sshd_config' puedo
restringir por
> 'User, Group, Host, Address', pero no por IP destino.
¿No te sirve con distingirlos segun el "User" o "Group"?
No veo como vas a diferenciar la IP de entrada en función del
usuario de ssh
(pienso en iptables, pero no). No hay relacion entre usuario shell
e IP.
Con iptables se puede identificar el usuario con --uid-owner, y se
puede identificar el nombre del proceso con --cmd-owner, Pero por
desgracia a iptables le va a faltar información de nivel aplicación
para diferencias que trafico es ssh, sftp o scp.
Marc
Hola,
en cualquier caso el módulo owner es válido para el tráfico que se
genera en el propio sistema, unicamente es válido para las cadenas
OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el
tráfico ssh que en última instancia es el usuario que inició el demonio
y no el que se logara en el sistema.
Es una pena no haber leído correctamente éste correo antes de
realizar las pruebas. Ciertamente las normas con "--uid-owner" o similar
no me sirven, porque lo que necesito es aplicarlas al "INPUT", y como muy
bien puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-(
--
Saludos --- Angel