[LUG.ro] Configuracion de SSH

[Lucas Sallovitz]

On 6/20/07, Diego Coppari <diego2k@gmail.com> wrote:
> Lo que dijo Jose Luis (gracias JL) fue lo primero que hice en un
> principio en un equipo de pruebas pero resultaba ser que me estamos en
> lo que decia Lucas, me filtra todo lo que viene desde la LAN y el
> trafico desde el router que también llega como si fuera trafico desde
> la LAN obviamente.

Opción 1: Simple, incorrecta, y posible: hacer que para poder entrar
por ssh, primero deban autenticarse en otro lado, por ejemplo algun
servidor http o ftp, que contengan un script que copie un archivo
mágico a la carpeta home del usuario, y que sea leido por el scrip de
inicio, el cual cerraría la sesión si no existe dicho archivo,
solamente los usuarios correspondientes tiene acceso a ese servicio
desde internet, y desde la red local, solo consistiría en ejecutar un
scrip que antes de llamar a ssh, genere el archivo correspondiente
(que por supuesto tendría que tener minimas consideraciones de
seguridad como ser válido por un par de minutos).

Opción 2: Complicada (?), correcta: Lo que podes hacer (pero no estoy
seguro de que sea técnicamente posible) es tener dos servidores de
ssh, uno para LAN y otro al que llegaría el tráfico desde internet
(porque rutearía a un puerto distinto en el linux), la única condición
es que sea posible ejecutar dos servidores ssh con diferentes archivos
de configuración (lo que incluiría distintos usuarios rechazados y por
supuesto escuchar en diferentes puertos).
Si se puede hacer eso (una herramienta que puede venir bien es una
jaula chroot) hasta se podrían configurar los clientes para generar un
tunel hacia el server de la LAN utilizando como puente el que mira
hacia la red.

Se entiende algo o estoy delirando?. Este es un típico caso donde el
mail siguiente es alguien que simplemente postea "ssh
--hacer-lo-que-dice-lucas", asi que me voy a poner a ver el man.

Saludos. Lucas.