Você pode usar Match
de maneira inversa. Chroot por padrão e, em seguida, negar a diretiva se conectar a partir da rede interna.
ChrootDirectory /chroot/somedir
Match Address 10.0.0.0/24
ChrootDirectory none
No entanto, você deve considerar as implicações de colocar decisões de segurança nas redes. Incluindo a possibilidade de um usuário autenticado criar uma nova sessão através de loopback, para ignorar essas políticas. Geralmente, seria mais seguro definir User
e Group
, se possível.
(editar: digitado antes de ler corretamente)