如何禁止受密码保护的 SSH 用户的端口转发?

如何禁止受密码保护的 SSH 用户的端口转发?

简短的:

我想限制通过密码识别的 SSH 用户的端口转发。

解释:

下面说明如何安装git服务器:

https://git-scm.com/book/en/v2/Git-on-the-Server-Setting-Up-the-Server

他们解释说,具有有限或没有 shell 访问权限的 SSH 用户仍然可以使用端口转发和其他一些操作系统服务。

此时,用户仍然可以使用 SSH 端口转发来访问 git 服务器能够到达的任何主机。

~/.ssh/authorized_keys在同一文本中,他们通过限制 SSH访问来解决问题no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty

我想使用密码识别做同样的事情:我知道非对称加密密钥通常比密码更安全,但它也可以防止在没有私钥的情况下从“任何地方”访问服务器。

(对我来说)似乎authorized_keys仅适用于 ssl 密钥识别,不适用于密码。

使用密码识别时如何限制端口转发?

注意:使用 CentOS 8

答案1

你可以做同样的事情sshd配置但你需要禁用 shell 访问,因为它们仍然可以运行自己的 sshd看到这个问题

AllowTcpForwarding no
AllowStreamLocalForwarding no
GatewayPorts no
PermitTunnel no

相关内容