SSHポートフォワード専用ユーザ

出先から自宅にsshしてメールを読むためにポートフォワード専用ユーザを作りました。
~/.ssh/authorized_keysに以下を記述して、いろいろ制限しています。

no-agent-forwarding,no-X11-forwarding,no-pty,permitopen="localhost:143",permitopen="localhost:80",command="/bin/sleep 8h"

tty端末アクセスを許さず、フォワード可能なポートも制限しています(ポートフォワード自体を禁止したい場合はno-port-forwardingでおこなえます)。

さらに、公開鍵をscpで書き換えられたら意味がないので、sleepコマンドを強制的に実行して実質何もできない状態にしました。

こちらの公開鍵に記述できる内容は、sshd(8)マニュアルのAUTHORIZED_KEYS FILE FORMATに書かれています。