当我的 SSHD 配置中有“ForceCommand”时,当我直接登录主机时,我会看到“ForceCommand”中指定的脚本正在执行。但是,当我使用主机作为跳转主机时,我没有看到“ForceCommand”被执行,我的目的是编写一个脚本来验证用户是否可以从跳转主机的角度连接到目标主机。关于如何让跳转主机调用可以执行此操作的脚本有什么想法吗?
答案1
使用时JumpHost,服务器上不打开shell,只有IO转发连接其他主机。如果您需要验证用户是否可以连接到目标主机,您应该尽早执行此操作,最好是在 pam 中进行身份验证期间执行此操作。ForceCommand检查访问权限为时已晚。
不幸的是,没有简单的方法来查看服务器中 JumpHost 的目标是什么。客户端将获得套接字并使用它连接到其他主机。
您可能能够使用permitopen选项或相同的authorized_keys文件选项,这应该允许您限制连接客户端可以执行的操作(假设使用公钥认证)或者AuthorizedKeysCommand如果您坚持使用脚本,则可以另外提供此信息。