Come può ssh consentire di configurare il port forwarding remoto ma non di eseguire comandi?

8

Come si può impostare un comando SSH per consentire il port forwarding ma non eseguire i comandi.

So che il login ssh può usare -N per interrompere l'esecuzione dei comandi, ma il file di configurazione ssh può essere impostato per impedirlo?

Limitare il tipo di shell e il percorso in Linux è disponibile su opzione, ma può essere fatto nella stessa configurazione SSH?

port-forwarding  ssh-tunnel  ssh 
vfclists
fonte

Risposte:

6

Guarda man sshde cercaAUTHORIZED_KEYS FILE FORMAT

Quello che vuoi fare è creare una coppia di chiavi pubblica / privata e inserire la chiave pubblica nel ~/.ssh/authorized_keysfile come di consueto. Quindi modificare il authorized_keysfile per aggiungere la stringa:

command = "/ bin / false", non-agent-forwarding, no-pty, no-user-rc, no-X11-forwarding, permitopen = "127.0.0.1:80"

Finirà per sembrare un po 'come:

command="/bin/false",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="127.0.0.1:80" ssh-dss AAAAC3...51R==

Vorresti cambiare l'argomento in "permesso aperto" e possibilmente cambiare alcune delle altre impostazioni, ma penso che sia sostanzialmente così.

Slartibartfast
fonte
Immagino che il permesso abbia impostato le porte locali che possono essere inoltrate dalla parte degli utenti. Influisce sul port forwarding remoto? Si applica solo a quella chiave?
vfclists,
Il file authorized_keys si trova sull'estremità remota (server ssh). Indica combinazioni host + porta a cui i client con la chiave autorizzata possono connettersi tramite il server. La porta che usi sul lato locale (client ssh) è irrilevante (e probabilmente non comunicata al server), quindi viene omessa. Sì, si applica solo a quella chiave (motivo per cui è elencata sulla stessa riga della chiave pubblica corrispondente alla chiave consentita)
Slartibartfast
1
C'è un errore di battitura qui: no-usr-rcdovrebbe essere no-user-rc.
xebeche,
2
C'è ancora un'istanza di no-usr-rc nella risposta - non sei sicuro di averne perso uno o se la modifica non è stata elaborata?
Dave Gregory,
1
Questo è il motivo per cui odio la regola del limite di 6 caratteri. Ho passato mezz'ora a cercare di capire cosa non andava, quando ho copiato quello con l'errore di battitura, solo per scoprire che è perché nessuno, tranne il proprietario, può correggere questa risposta.
zypA13510,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.