• Domingo 22 de Diciembre de 2024, 02:38

Autor Tema:  Filtrar Ssh  (Leído 1993 veces)

CiRRuS

  • Miembro MUY activo
  • ***
  • Mensajes: 218
    • Ver Perfil
    • http://zirrus.es
Filtrar Ssh
« en: Domingo 28 de Noviembre de 2004, 11:23 »
0
Hola, tengo un servidor en Linux al que puedo acceder por SSH solamente desde mi red interna, hasta ahi todo perfecto.

Sin embargo, me gustaria que unos determinados usuarios del sistema puedan acceder por ssh desde el exterior de mi LAN, pero solo estos determinados usuarios. Con el router puedo dirigir las entradas por el puerto SSH a dicho servidor, ¿pero en que punto puedo discriminar la entrada para ver si es un determinado usuario?

¿Existe alguna forma de configurar el servidor sshd para que discrime la entrada de usuarios procedentes de fuera de mi LAN? ¿Puedo hacerlo en iptables? ¿Quizas montando un proxy?

Estoy abierto a cualquier idea.

Muchas gracias.

Nos vemos :hola:
Core Dumped
zirrus.es

fuhrer

  • Miembro MUY activo
  • ***
  • Mensajes: 329
  • Nacionalidad: mx
    • Ver Perfil
    • http://admin.busquenoseninternet.com
Re: Filtrar Ssh
« Respuesta #1 en: Domingo 28 de Noviembre de 2004, 22:42 »
0
Hola

Pues mira creo que para ello debes definir quienes entraran y quienes no, seria mas facil si creas un grupo para los que deseas que entren y otro para los que no, una ves hecho esto, debes editar tu archivo /etc/ssh/sshd.conf, o como se llame en tu distro, y en este agregas dos lines, una para los que se les debe permitir la entrada y otra para los que no.

Espero sea la solucion.

Hasta luego.

CiRRuS

  • Miembro MUY activo
  • ***
  • Mensajes: 218
    • Ver Perfil
    • http://zirrus.es
Re: Filtrar Ssh
« Respuesta #2 en: Lunes 29 de Noviembre de 2004, 01:13 »
0
Ok, comprendo tu idea.

Pero no se si se adapta a lo que busco, pues no quiero decir solo quien se puede meter y quien no, sino tambien si un determinado usuario puede acceder segun su procedencia.

Por ejemplo, puede resultar que permita el acceso a todo usuario de mi LAN por ssh, pero solo quiera que el usuario "pepito" (ademas de acceder por LAN, por ejemplo) tambien pueda acceder desde fuera de mi LAN, pero solo ese tal "pepito".

Un ejemplo mas realista que se me acaba de ocurrir, supongamos un servidor ssh al que acceden los usuarios del sistema linux (incluido el usuario root). Este servidor es accesible desde la LAN y desde Internet a partir del router que da acceso a internet. Pero por ejemplo, no queremos que desde internet acceda el usuario root, pero desde la LAN si, ¿como hacerlo?

Muchas gracias!

Nos vemos :hola:
Core Dumped
zirrus.es

NRM

  • Miembro MUY activo
  • ***
  • Mensajes: 279
  • Nacionalidad: ar
    • Ver Perfil
    • http://www.narrowmind.com.ar
Re: Filtrar Ssh
« Respuesta #3 en: Lunes 29 de Noviembre de 2004, 03:27 »
0
Podrias probar con lo siguiente, en el archivo sshd_config podrias utilizar lo siguiente.

Código: Text
  1. AllowUsers nrm@10.0.0.1
  2. DenyUsers nrm
  3.  
  4.  

Tambien podrias utilizar AllowGroups y DenyGroups.

Espero te sea de utilidad.

CiRRuS

  • Miembro MUY activo
  • ***
  • Mensajes: 218
    • Ver Perfil
    • http://zirrus.es
Re: Filtrar Ssh
« Respuesta #4 en: Lunes 29 de Noviembre de 2004, 10:07 »
0
Ok, me pongo en ello, en cuanto averigüe como se hace exactamente a partir de lo que me comentais os lo comunico. Creo que con lo que me habeis dicho puedo apañarlo.

Muchas gracias!

Nos vemos :hola:
Core Dumped
zirrus.es

CiRRuS

  • Miembro MUY activo
  • ***
  • Mensajes: 218
    • Ver Perfil
    • http://zirrus.es
Re: Filtrar Ssh
« Respuesta #5 en: Jueves 2 de Diciembre de 2004, 13:04 »
0
Ya lo he resuelto, muchas gracias NRM!!!! efectivamente con AllowUsers se puede realizar la accion.

He estado mirando las paginas man y alguna informacion por ahi, el comando AllowUsers colocado en el fichero sshd_config (en mi red hat 9 eta en /etc/ssh) permite establecer los usuarios que pueden acceder o no, permite el uso de comodines y establecer la ip del origen.

Por ejemplo:

Para permitir que entre todo usuario desde una ip (en el ejemplo 192.168.127.2) y que solo el usuario pepito pueda entrar al sistema desde cualquier parte solo hay que poner:

Código: Text
  1. AllowUsers *@192.168.127.2 pepito@*
  2.  


Separados por un espacio.

Gracias, muchas gracias!!!

Nos vemos :hola:
Core Dumped
zirrus.es