Gezocht: Een sshd_config met SFTP aan en SSH uit.

[hansvl]

Een Ubuntu 16 server wordt gebruikt als SFTP-server.
Deze server staat in een DMZ VLAN.

Deze server moet worden ingericht zodat:
-Vanuit het externe internet alleen met SFTP kan worden ingelogd maar niet met SSH kan worden ingelogd
  waardoor een bash wordt opgestart.
-Vanuit het interne internet zowel met SFTP kan worden ingelogd als ook met SSH kan worden ingelogd
  waardoor een bash wordt opgestart.

Hiervoor kunnen twee sshd worden opgestart die ieder een eigen sshd_config file hebben en ieder met een
ander poort nummer werken.

Hoe kan de sshd_config voor de sshd van het externe internet worden ingesteld dat er wel kan worden ingelogd
met SFTP maar niet met SSH een bash kan worden opgestart?

[siegi]

Ik denk dat je in volgende richting moet denken, 2 instances van openssh draaien.
https://nakuls77.wordpress.com/2014/12/09/run-multiple-instances-of-openssh-on-one-server/
en dan ervoor zorgen dat degene die van buiten uit bereikbaar is optie ForceCommand internal-sftp heeft in de config file.

Veel succes ermee, heb het zelf nog niet geprobeert

[hansvl]

Het is gelukt met één sshd instance.
Aan de file /etc/ssd/sshd_config heb ik onderstaande regels toegevoegd.

Match Address *,!172.8.0.0/16
        ForceCommand internal-sftp

Als er ingelogd wordt vanaf  een IP adres dat buiten onze interne IP adres range "1972.8.0.0/16" valt,
dan kan er alleen met de sftp-daemon worden gecommuniceerd. 

 

[siegi]

Geweldig dank voor de feedback!