Jul 282006
出先から自宅にsshしてメールを読むためにポートフォワード専用ユーザを作りました。
~/.ssh/authorized_keysに以下を記述して、いろいろ制限しています。
no-agent-forwarding,no-X11-forwarding,no-pty,permitopen="localhost:143",permitopen="localhost:80",command="/bin/sleep 8h"
tty端末アクセスを許さず、フォワード可能なポートも制限しています(ポートフォワード自体を禁止したい場合はno-port-forwardingでおこなえます)。
さらに、公開鍵をscpで書き換えられたら意味がないので、sleepコマンドを強制的に実行して実質何もできない状態にしました。
こちらの公開鍵に記述できる内容は、sshd(8)マニュアルのAUTHORIZED_KEYS FILE FORMATに書かれています。
Sorry, the comment form is closed at this time.