Предположим, я создал учетную запись, чья оболочка входа в систему на самом деле является сценарием, который не разрешает интерактивный вход в систему и позволяет только очень ограниченный, определенный набор команд, которые будут выполняться удаленно.
Тем не менее, ssh
позволяет пользователю этой учетной записи переадресовывать порты, что является дырой.
Суть в том, что я действительно хочу, чтобы эта учетная запись настраивала конкретную конфигурацию переадресации портов при установлении сеанса ssh
. Но должно быть невозможно настроить произвольную переадресацию портов.
(Это приемлемое решение, если разрешенная конфигурация переадресации портов безоговорочно устанавливается как часть каждого сеанса.)