Como o ssh pode configurar o encaminhamento de porta remota, mas não executar comandos?


8

Como um comando SSH pode ser configurado para permitir o encaminhamento de porta, mas não executar comandos.

Sei que o login do ssh pode usar -N para interromper a execução de comandos, mas o arquivo de configuração do ssh pode ser configurado para desabilitá-lo?

Restringir o tipo de shell e o caminho no Linux está ativado, mas isso pode ser feito na própria configuração do SSH?

Respostas:


6

Olhe man sshde pesquise porAUTHORIZED_KEYS FILE FORMAT

O que você deseja fazer é criar um par de chaves pública / privada e colocar a chave pública no ~/.ssh/authorized_keysarquivo normalmente. Em seguida, edite o authorized_keysarquivo para adicionar a sequência:

command = "/ bin / false", encaminhamento sem agente, sem-pty, sem usuário-rc, sem encaminhamento para X11, allowopen = "127.0.0.1:80"

Vai acabar parecendo com:

command="/bin/false",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="127.0.0.1:80" ssh-dss AAAAC3...51R==

Você gostaria de mudar o argumento para 'allowopen' e possivelmente alterar algumas das outras configurações, mas acho que é basicamente isso.


Eu acho que o allowopen define as portas locais que podem ser encaminhadas pelo usuário final. Isso afeta o encaminhamento de porta remota? Aplica-se apenas a essa chave?
vfclists

O arquivo allowed_keys está no lado remoto (servidor ssh). Indica combinações de host + porta às quais os clientes com a chave autorizada podem se conectar via servidor. A porta que você usa no local (cliente ssh) é irrelevante (e provavelmente não é comunicada ao servidor), portanto, é omitida. Sim, aplica-se apenas a essa chave (e é por isso que está listada na mesma linha que a chave pública correspondente à chave que é permitida)
Slartibartfast

1
Há um erro de digitação aqui: no-usr-rcdeveria ser no-user-rc.
Xebeche 28/10/12

2
Ainda existe uma instância de no-usr-rc na resposta - não tenho certeza se você perdeu uma ou se a edição não foi processada?
Dave Gregory

1
É por isso que odeio a regra do limite de 6 caracteres. Passei meia hora tentando descobrir o que estava errado, quando copiei o erro de digitação, apenas para descobrir que é porque ninguém, exceto o proprietário, pode corrigir esta resposta.
ZypA13510

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.