У меня есть сервер под управлением Ubuntu и демон OpenSSH. Давайте назовем это S1.
Я использую этот сервер с клиентских машин (назовем одну из них C1) для создания обратного туннеля SSH с использованием переадресации удаленных портов, например:
ssh -R 1234:localhost:23 login@S1
На S1 я использую файл sshd_config по умолчанию. Из того, что я могу видеть, кто имея правильные учетные данные для входа {,} PWD на S1 могут войти в S1 и либо сделать удаленное перенаправление портов и локальное перенаправление портов. Такие учетные данные могут стать сертификатом в будущем, поэтому, насколько я понимаю, любой, кто получает сертификат, может войти в S1 из любого другого места (не обязательно C1) и, следовательно, создать переадресацию локальных портов.
Для меня разрешить переадресацию локальных портов слишком опасно, так как это позволяет создать какой-то публичный прокси. Я ищу способ отключить только -L пересылки.
Я попробовал следующее, но это отключает как локальную, так и удаленную пересылку:
AllowTcpForwarding No
Я также попробовал следующее, это позволит только -L для SX:1. Это лучше, чем ничего, но все же не то, что мне нужно, а вариант "нет".
PermitOpen SX:1
Поэтому мне интересно, есть ли способ, чтобы я мог запретить всем форвардам локальных портов писать что-то вроде:
PermitOpen none:none
Это хорошая идея?
PermitOpen localhost:1