Ho un server che esegue Ubuntu e il demone OpenSSH. Chiamiamolo S1.
Uso questo server da macchine client (chiamiamone una C1) per fare un tunnel inverso SSH usando il port forwarding remoto, ad es .:
ssh -R 1234:localhost:23 login@S1
Su S1, uso il file predefinito sshd_config. Da quello che posso vedere, chiunque abbia le carte in regola {accesso, pwd} su S1 può accedere S1 e sia fare il port forwarding remoto e il port forwarding locale. Tali credenziali potrebbero essere un certificato in futuro, quindi, a mio avviso, chiunque afferrasse il certificato può accedere a S1 da qualsiasi altra parte (non necessariamente C1) e quindi creare port forwarding locali.
Per me, consentire il port forwarding locale è troppo pericoloso, poiché consente di creare una sorta di proxy pubblico. Sto cercando un modo per disabilitare solo gli inoltri -L.
Ho provato quanto segue, ma questo disabilita l'inoltro sia locale che remoto:
AllowTcpForwarding No
Ho anche provato quanto segue, questo consentirà solo -L a SX: 1. È meglio di niente, ma non è ancora quello di cui ho bisogno, che è un'opzione "nessuna".
PermitOpen SX:1
Quindi mi chiedo se c'è un modo, in modo da poter vietare a tutti i port forward locali di scrivere qualcosa del tipo:
PermitOpen none:none
La seguente è una bella idea?
PermitOpen localhost:1