我想允许用户在特定端口(例如5000)上设置到特定计算机的SSH隧道,但我想尽可能地限制此用户.(身份验证将使用公钥/私钥对).
我知道我需要编辑相关的〜/ .ssh/authorized_keys文件,但我不确定要放入哪些内容(公钥除外).
在Ubuntu 11.10上,我发现我可以阻止ssh命令,使用和不使用-T发送,以及阻止scp复制,同时允许端口转发通过.
具体来说,我在"somehost"上有一个redis-server绑定到localhost:6379,我希望通过ssh隧道安全地共享到具有密钥文件的其他主机,并将ssh in:
$ ssh -i keyfile.rsa -T -N -L 16379:localhost:6379 someuser@somehost
这将导致"somehost"上的redis-server"localhost"端口6379在执行ssh命令的主机上本地出现,重新映射到"localhost"端口16379.
在远程"somehost"这是我用于authorized_keys的内容:
cat .ssh/authorized_keys (portions redacted) no-pty,no-X11-forwarding,permitopen="localhost:6379",command="/bin/echo do-not-send-commands" ssh-rsa rsa-public-key-code-goes-here keyuser@keyhost
no-pty绊倒了大多数想要打开终端的ssh尝试.
permitopen解释了允许转发哪些端口,在这种情况下,端口6379是我想要转发的redis-server端口.
如果某人或某事确实设法通过ssh -T或其他方式向主机发送命令,则command ="/ bin/echo do-not-send-commands"回显"do-not-send-commands".
从最近的Ubuntu man sshd,authorized_keys /命令描述如下:
command ="command"指定只要使用此密钥进行身份验证,就会执行该命令.用户提供的命令(如果有)将被忽略.
尝试使用scp安全文件复制也将失败并显示"do-not-send-commands"的回声我发现sftp也因此配置而失败.
我认为在之前的一些答案中提出的限制性shell建议也是一个好主意.此外,我同意这里详述的所有内容都可以通过阅读"man sshd"并在其中搜索"authorized_keys"来确定.
您可能希望将用户的shell设置为受限制的shell.取消设置用户的〜/ .bashrc或〜/ .bash_profile中的PATH变量,它们将无法执行任何命令.稍后,如果您决定允许用户执行一组有限的命令(例如,less或者tail例如),那么您可以将允许的命令复制到单独的目录(例如/home/restricted-commands)并更新PATH以指向那个目录.
除了像no-X11-forwarding这样的authorized_keys选项之外,实际上只有一个是你要求的:permitopen ="host:port".通过使用此选项,用户只能设置到指定主机和端口的隧道.
有关AUTHORIZED_KEYS文件格式的详细信息,请参阅man sshd.
我的解决方案是为没有交互式shell的用户提供隧道,将/ etc/passwd中的shell设置为/ usr/bin/tunnel_shell.
只需使用无限循环创建可执行文件/ usr/bin/tunnel_shell.
#!/bin/bash trap '' 2 20 24 clear echo -e "\r\n\033[32mSSH tunnel started, shell disabled by the system administrator\r\n" while [ true ] ; do sleep 1000 done exit 0
这里完全解释: http ://blog.flowl.info/2011/ssh-tunnel-group-only-and-no-shell-please/
京公网安备 11010802040832号 | 京ICP备19059560号-6 