关于unix：允许用户设置SSH隧道，但无其他设置

我想允许用户在特定端口(例如5000)上建立到特定计算机的SSH隧道，但是我想尽可能地限制该用户。 (身份验证将使用公共/专用密钥对)。

我知道我需要编辑相关的?/ .ssh / authorized_keys文件，但是我不确定到底要放什么内容(除了公钥)。

在Ubuntu 11.10上，我发现我可以阻止ssh命令(使用-T和不使用-T发送)，并阻止scp复制，同时允许端口转发通过。

具体来说，我在绑定到localhost：6379的" somehost"上有一个redis服务器，希望通过ssh隧道安全地共享到其他具有密钥文件的主机，并将通过ssh进行共享：

这将导致redis服务器" somehost"上的" localhost"端口6379在执行ssh命令的主机上本地显示，并重新映射到" localhost"端口16379。

在远程" somehost"上，这是我用于authorized_keys的内容：

no-pty会触发大多数想要打开终端的ssh尝试。

permitopen解释了允许转发哪些端口，在这种情况下，端口6379是我要转发的redis服务器端口。

如果某人或某物确实设法通过ssh -T或其他方式向主机发送命令，则command =" / bin / echo do-not-send-commands"回显" do-not-send-commands"。

在最近的Ubuntu man sshd中，authorized_keys /命令的描述如下：

command="command"
Specifies that the command is executed whenever this key is used
for authentication. The command supplied by the user (if any) is
ignored.

尝试使用scp安全文件复制也将失败，并回显" do-not-send-commands"。我发现sftp在此配置下也失败。

我认为在先前的一些回答中提出的限制性外壳建议也是一个好主意。
另外，我同意可以通过阅读" man sshd"并在其中搜索" authorized_keys"来确定此处详述的所有内容

您可能需要将用户的外壳设置为受限外壳。在用户的?/ .bashrc或?/ .bash_profile中取消设置PATH变量，他们将无法执行任何命令。稍后，如果您决定要允许用户执行一组有限的命令，例如less或tail，则可以将允许的命令复制到单独的目录(例如)并更新PATH以指向该目录。

除了诸如no-X11-forwarding之类的authorized_keys选项外，实际上您还要求提供一个：allowopen =" host：port"。通过使用此选项，用户只能建立到指定主机和端口的隧道。

有关AUTHORIZED_KEYS文件格式的详细信息，请参考man sshd。

我的解决方案是为仅提供隧道服务的用户(而不提供交互式shell)将/ etc / passwd中的该shell设置为/ usr / bin / tunnel_shell。

只需使用无限循环创建可执行文件/ usr / bin / tunnel_shell。

此处有完整说明：http：//blog.flowl.info/2011/ssh-tunnel-group-only-and-no-shell-please/

在这里，我有一篇不错的文章，对我很有帮助：
http://www.ab-weblog.com/zh-CN/creating-a-restricted-ssh-user-for-ssh-tunneling-only/

这个想法是：(使用新的受限用户名为" sshtunnel")

请注意，我们使用rbash(受限bash)来限制用户可以执行的操作：用户不能cd(更改目录)并且不能设置任何环境变量。

然后，我们将/home/sshtunnel/.profile中用户的PATH env变量编辑为空-这将使bash找不到任何要执行的命令：

最后，我们通过设置以下权限禁止用户编辑任何文件：

如果要只允许访问特定命令(例如svn)，则还可以在授权密钥文件中指定该命令：

来自http://svn.apache.org/repos/asf/subversion/trunk/notes/ssh-tricks

I'm able to set up the authorized_keys file with the public key to log
in. What I'm not sure about is the additional information I need to
restrict what that account is allowed to do. For example, I know I can
put commands such as:

1	no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding

您可能希望您的authorized_keys文件中的一行如下所示。

我做了一个C程序，看起来像这样：

我将受限用户的外壳程序设置为此程序。

我认为受限制的用户即使执行ssh server command也无法执行任何操作，因为命令是使用Shell执行的，并且此Shell不执行任何操作。

请参阅有关验证公钥的文章。

您需要记住的两件事是：

您将通过用户使用的任何ssh客户端在用户计算机上生成密钥。例如，pUTTY具有实用程序来执行此操作。它将生成私钥和公钥。

生成的公共密钥文件的内容将放置在authorized_keys文件中。

接下来，您需要确保将ssh客户端配置为使用生成公钥的私钥。这是相当简单的，但是根据所使用的客户端而略有不同。