Limitar sessões SSH de usuário por IP

aprendiz_ce
(usa Debian)

Enviado em 04/03/2015 - 12:33h

Prezados,

Necessito limitar a quantidade de sessões SSH de usuários por IP. Quero que o usuário só possa abrir várias sessões se o mesmo fizer isso de um IP diferente de outra sessão que o usuário já possua. Como posso fazer isso?

Grato e aguardo qualquer orientação.

aprendiz_ce
(usa Debian)

Enviado em 10/09/2015 - 11:21h

Será que alguém poderia me dar uma ajuda?

tonyhts
(usa Arch Linux)

Enviado em 10/09/2015 - 11:59h

Olá,

Segue:: http://www.hardware.com.br/comunidade/limitar-acesso/196730/

abs
---
Eu Acredito, que ás vezes são as pessoas que ninguém espera nada que fazem as coisas que ninguém consegue imaginar.

--- Mestre dos Mestres - Alan Turing ---

aprendiz_ce
(usa Debian)

Enviado em 11/09/2015 - 17:30h

Olá,

Não é bem isso que necessito. Quero limitar apenas uma sessão do usuário por número de IP, ou seja, não quero que o mesmo usuário abra mais de uma sessão partindo do mesmo IP. Entendeu?

Grato pela sua atenção.

removido
(usa Nenhuma)

Enviado em 11/09/2015 - 18:55h

Parece que dá para fazer usando Iptables assim:

/sbin/iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 1 -j REJECT

Mas eu não testei, apenas consultei o google

aprendiz_ce
(usa Debian)

Enviado em 13/09/2015 - 12:55h

Olá,

Confesso que não consegui entender essa regra, pois na mesma não costa o IP de origem da conexão, ou seja, o IP do usuário no qual quero limitar.

Grato pela sua atenção.

removido
(usa Nenhuma)

Enviado em 15/09/2015 - 22:57h

Prezado

Para ficar mais simples explicarei.

iptables -t filter -A INPUT -p tcp --syn --dport 22 -s 192.168.x.x -m connlimit --connlimit-above 1 -j REJECT

Quando o sujeito realizar a conexão a porta 22 e estiver em processo de troca de pacotes syn que e o processo quando se estabelece uma conexão o netfilter limitará em uma conexão para o host de origem resolvendo então o seu problema.

att,

Tiago Eduardo Zacarias
LPIC-2
Viva o Linux !!!

aprendiz_ce
(usa Debian)

Enviado em 16/09/2015 - 09:21h

Olá Tiago,

Eu testei a regra anterior postada pelo nosso colega e a mesma funcionou perfeitamente. Só depois de por em prática foi que a "ficha caiu" e com o seu comentário a coisa ficou ainda mais clara.

Muitíssimo obrigado pela sua atenção.

removido
(usa Nenhuma)

Enviado em 16/09/2015 - 13:24h

Se o que está descrito abaixo é isso que quer.


Então o que foi sugerido nesse comentário não é a solução. já que essa regra limita o número de conexões, independente de quem está se conectando e de que IP se conecta.



Agora se quer realmente limitar uma sessão do usuário por IP, pode incluir as linhas abaixo no arquivo /etc/profile ou /home/nome_do_usuario/.profile se for debian/ubuntu ou /home/nome_do_usuario/.bash_profile.

if [ $(w|grep -iE [0-9]{3}\.+|awk -F" " '{print $1"@"$3}'|sort|uniq -d) ];then
exit 0
fi
 

Assim se tiver uma conexão existente de um IP para o usuário ele executa exit 0, caso seja a primeira conexão loga normalmente.

aprendiz_ce
(usa Debian)

Enviado em 18/09/2015 - 13:07h

Olá eabreu,

O iptables da forma que me passaram atendeu perfeitamente, pois a necessidade é não repetir conexões partindo de um mesmo IP de origem. Agora com a sua dica, posso melhorar os meus controles quando esse recurso se fizer necessário.

Muito obrigado pela sua atenção.