¿Cómo puede ssh permitir configurar el reenvío de puerto remoto pero no ejecutar comandos?

8

¿Cómo se puede configurar un comando SSH para permitir el reenvío de puertos pero no ejecutar comandos?

Sé que el inicio de sesión ssh puede usar -N para detener la ejecución de comandos, pero ¿se puede configurar el archivo de configuración ssh para no permitirlo?

Restringir el tipo de shell y la ruta en Linux es una opción, pero ¿se puede hacer en la configuración SSH?

port-forwarding ssh-tunnel ssh vfclists
fuente

Respuestas:

6

Mira man sshdy buscaAUTHORIZED_KEYS FILE FORMAT

Lo que desea hacer es crear un par de claves pública / privada y colocar la clave pública en el ~/.ssh/authorized_keysarchivo de manera normal. Luego edite el authorized_keysarchivo para agregar la cadena:

command = "/ bin / false", reenvío sin agente, no-pty, no-user-rc, no-X11-forwarding, permitopen = "127.0.0.1:80"

Terminará pareciendo algo así como:

command="/bin/false",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="127.0.0.1:80" ssh-dss AAAAC3...51R==

Desea cambiar el argumento a 'permitopen' y posiblemente cambiar algunas de las otras configuraciones, pero creo que eso es básicamente todo.

Slartibartfast
fuente
Supongo que el permitopen establece los puertos locales que se pueden reenviar desde los usuarios finales. ¿Afecta el reenvío de puerto remoto? ¿Se aplica solo a esa clave?
vfclists
El archivo authorised_keys está en el extremo remoto (servidor ssh). Indica combinaciones de host + puerto a las que los clientes con la clave autorizada pueden conectarse a través del servidor. El puerto que usa en el lado local (cliente ssh) es irrelevante (y probablemente no se comunica al servidor), por lo que se omite. Sí, solo se aplica a esa clave (razón por la cual aparece en la misma línea que la clave pública correspondiente a la clave permitida)
Slartibartfast
1
Hay un error tipográfico aquí: no-usr-rcdebería ser no-user-rc.
xebeche
2
Todavía hay una instancia de no-usr-rc en la respuesta: ¿no está seguro si se perdió una o si la edición no se ha procesado?
Dave Gregory
1
Es por eso que odio la regla de límite de 6 caracteres. Pasé media hora tratando de descubrir qué pasaba, cuando copié el que tenía el error tipográfico, solo para descubrir que era porque nadie, excepto el propietario, puede corregir esta respuesta.
zypA13510