Como o ssh pode configurar o encaminhamento de porta remota, mas não executar comandos?

8

Como um comando SSH pode ser configurado para permitir o encaminhamento de porta, mas não executar comandos.

Sei que o login do ssh pode usar -N para interromper a execução de comandos, mas o arquivo de configuração do ssh pode ser configurado para desabilitá-lo?

Restringir o tipo de shell e o caminho no Linux está ativado, mas isso pode ser feito na própria configuração do SSH?

port-forwarding ssh-tunnel ssh vfclists
fonte

Respostas:

6

Olhe man sshde pesquise porAUTHORIZED_KEYS FILE FORMAT

O que você deseja fazer é criar um par de chaves pública / privada e colocar a chave pública no ~/.ssh/authorized_keysarquivo normalmente. Em seguida, edite o authorized_keysarquivo para adicionar a sequência:

command = "/ bin / false", encaminhamento sem agente, sem-pty, sem usuário-rc, sem encaminhamento para X11, allowopen = "127.0.0.1:80"

Vai acabar parecendo com:

command="/bin/false",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="127.0.0.1:80" ssh-dss AAAAC3...51R==

Você gostaria de mudar o argumento para 'allowopen' e possivelmente alterar algumas das outras configurações, mas acho que é basicamente isso.

Slartibartfast
fonte
Eu acho que o allowopen define as portas locais que podem ser encaminhadas pelo usuário final. Isso afeta o encaminhamento de porta remota? Aplica-se apenas a essa chave?
vfclists
O arquivo allowed_keys está no lado remoto (servidor ssh). Indica combinações de host + porta às quais os clientes com a chave autorizada podem se conectar via servidor. A porta que você usa no local (cliente ssh) é irrelevante (e provavelmente não é comunicada ao servidor), portanto, é omitida. Sim, aplica-se apenas a essa chave (e é por isso que está listada na mesma linha que a chave pública correspondente à chave que é permitida)
Slartibartfast
1
Há um erro de digitação aqui: no-usr-rcdeveria ser no-user-rc.
Xebeche 28/10/12
2
Ainda existe uma instância de no-usr-rc na resposta - não tenho certeza se você perdeu uma ou se a edição não foi processada?
Dave Gregory
1
É por isso que odeio a regra do limite de 6 caracteres. Passei meia hora tentando descobrir o que estava errado, quando copiei o erro de digitação, apenas para descobrir que é porque ninguém, exceto o proprietário, pode corrigir esta resposta.
ZypA13510