Duvida: Desactivar SSH TCP port forw só para alguns users???

[Kuartzer]

A minha dúvida é se é possível desactivar o redireccionamento de portas através de SSH num sistema de permissão por utilizador...

Tipo utilizador kuartzer tem acesso a redireccionamento
Utilizador alpha não tem...

sei que para desligar o redireccionamento na totalidade é só preciso editar o sshd_config e mudar a opção AllowTcpForwarding para no, no entanto gostava de saber se é possível controlar isso por utilizador.

Não me parece haver maneira de fazer isto directamente no daemon do SSH, mas existirá alguma maneira paralela de fazer isto???

Agradeço já todos os comentários, que são muito bem vindos !
_________________
"Não existe nada completamente errado no mundo, até mesmo um relógio parado consegue estar certo duas vezes por dia..."

[r3pek]

que eu tenha conhecimento não é possível... mas ha por aí pessoal com + experiencia que eu, podem ser k saibam se é possível ou não.

[nuxman]

Não me parece haver maneira de fazer isto directamente no daemon do SSH, mas existirá alguma maneira paralela de fazer isto???

Bom Kuartzer acredito que vc poderia utilizar o iptables com a opção :
--uid-owner ---> esta function baseia no ID do user...
ou
--gid-owner

iptables -A PREROUTING -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT


um abraço [/b]

[r3pek]

pelo k percebi, ele nao ker blokear o acesso a um determinado user ou grupo, mas sim apenas desactivar o port forwarding.

[nuxman]

Lamento nao havia entendido, bom veremos assim ..

AllowTcpForwardingForUsers the form user or user@host, separated by commas.
verifique este link :

http://secu.zzu.edu.cn/book/NetWork/NetworkingBookshelf_2ndEd/ssh/ch05_04.htm#INDEX-813

see you

[Kuartzer]

Antes demais, obrigado pelas vcs respostas!

Em relaçao ao post do iptables, na realidade nao kero impedir o acesso, apenas o redirecionamento de portas!
Em relação ao ultimo post, a directiva que permite fazer isso apenas funciona para o SSH2 (versão original e comercial do protocolo), eu por aqui uso openSSH, logo voltamos a estaca de partida.

Mais alguma ideia?
_________________
"Não existe nada completamente errado no mundo, até mesmo um relógio parado consegue estar certo duas vezes por dia..."

[humpback]

não é para puxar a brasa a minha sardinha. Mas e ebuild do ssh comercial foi feita por mim
Eu pessoalmente uso o ssh comercial principalmente depois dos bugs do openssh a coisa de 7 meses.
Atenção que ele é livre para uso não comercial, logo universidades e afins podem usar. (e é de codigo aberto (não livre, mas aberto)).

Existe uma outra hipotese mas que acaba por ser parecida com a da firewall que é usar grsec e usar as opções de deny client socket e server socket que podem ser controladas atraves do grupo.
_________________
Gustavo Felisberto
Humpback @ #gentoo-pt
------------
It's most certainly GNU/Linux, not Linux. Read more at
http://www.gnu.org/gnu/why-gnu-linux.html .
-------------

[Kuartzer]

brigado mais uma vez...
Em relaçao a licença do SSH por acaso conhecia pk uso o cliente deles para windows, nunca me passou foi que o server tb tivesse a mesma licença que o cliente... acho que vou exprimentar aki, é só mesmo para uso pessoal e para um grupo de amigos/developers de um projecto da universidade .
_________________
"Não existe nada completamente errado no mundo, até mesmo um relógio parado consegue estar certo duas vezes por dia..."