在服务器的authorized_keys文件上,ssh 密钥前面有一个特定的命令,以防止用户运行任何其他命令:
command="/bin/restricted_shell" ssh-rsa AAA....
通常建议no-X11-forwarding在使用命令时添加限制。
由于限制不存在 - 并且X11Forwarding是允许的 - 是否可以执行例如xterm会话而不是受限制的命令?
答案1
由于不存在限制 - 并且允许 X11Forwarding - 是否可以执行 xterm 会话而不是受限命令?
不,这是不可能的。
但是,除非指定的强制命令本身需要 X11 显示,否则没有理由允许 X11 转发:启用 X11 转发时,ssh 将xauth在服务器上运行该命令,这将.Xauthority在用户目录中创建/修改文件,因此像授权密钥文件中这样无害的条目command="uptime" ssh-rsa ...突然变得更有趣,有人可能杠杆作用以创造性的方式。
请注意,您可以在授权密钥文件中基于每个密钥禁用 X11 转发:
command="uptime",no-x11-forwarding ssh-rsa AAA...