Làm thế nào ssh có thể cho phép thiết lập chuyển tiếp cổng từ xa nhưng không thực hiện lệnh?


8

Làm thế nào một lệnh SSH có thể được thiết lập để cho phép chuyển tiếp cổng nhưng không thực thi các lệnh.

Tôi biết rằng đăng nhập ssh có thể sử dụng -N để dừng các lệnh thực thi, nhưng tệp cấu hình ssh có thể được thiết lập để không cho phép không?

Hạn chế loại shell và đường dẫn trong Linux là tùy chọn, nhưng nó có thể được thực hiện trong chính cấu hình SSH không?

Câu trả lời:


6

Nhìn vào man sshdvà tìm kiếmAUTHORIZED_KEYS FILE FORMAT

Những gì bạn muốn làm là tạo một cặp khóa công khai / riêng tư và đặt khóa chung vào ~/.ssh/authorized_keystệp như bình thường. Sau đó chỉnh sửa authorized_keystệp để thêm chuỗi:

lệnh = "/ bin / false", không chuyển tiếp tác nhân, không pty, không người dùng-RC, không chuyển tiếp X11, allowopen = "127.0.0.1:80"

Nó sẽ kết thúc giống như:

command="/bin/false",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="127.0.0.1:80" ssh-dss AAAAC3...51R==

Bạn sẽ muốn thay đổi đối số thành 'allowopen' và có thể thay đổi một số cài đặt khác, nhưng tôi nghĩ về cơ bản là như vậy.


Tôi đoán giấy phép đặt các cổng cục bộ có thể được chuyển tiếp từ cuối người dùng. Có ảnh hưởng đến chuyển tiếp cổng từ xa? Có phải nó chỉ áp dụng cho khóa đó?
vfclists

Tệp ủy quyền là ở cuối (máy chủ ssh) từ xa. Nó chỉ ra các kết hợp máy chủ + cổng mà khách hàng có khóa ủy quyền được phép kết nối qua máy chủ. Cổng mà bạn sử dụng ở phía cục bộ (ssh client) không liên quan (và có thể không được liên lạc với máy chủ), vì vậy nó bị bỏ qua. Có, nó chỉ áp dụng cho khóa đó (đó là lý do tại sao nó được liệt kê trên cùng dòng với khóa chung tương ứng với khóa được phép)
Slartibartfast

1
Có một lỗi đánh máy ở đây: no-usr-rcnên được no-user-rc.
xebeche

2
Vẫn còn một trường hợp không có usr-rc trong câu trả lời - không chắc bạn đã bỏ lỡ hay nếu chỉnh sửa chưa được xử lý?
Dave Gregory

1
Đây là lý do tại sao tôi ghét quy tắc giới hạn 6 ký tự. Tôi đã dành nửa giờ để cố gắng tìm ra cái gì sai, khi tôi sao chép cái đó bằng lỗi đánh máy, chỉ để tìm ra nó bởi vì không ai ngoại trừ chủ sở hữu có thể sửa câu trả lời này.
zypA13510

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.