如何实现SSH用户限制访问

介绍 这是一个寻求答案扩展的问题如何限制 ssh 用户仅允许 ssh 隧道

问题陈述 我尝试实现参考中的建议，创建一个没有 shell 访问权限的用户，但无法以该用户的名义连接到隧道。

要求 我希望能够让未受保护的远程计算机（计算机 A）启动返回我的防火墙的反向隧道。机器 A 是一个无头盒子，没有用户输入。它在野外并且可能位于防火墙后面。我的防火墙 (MyFW) 是一台 Linux 机器，我有 CLI root 访问权限。

我需要机器 A 启动返回 MyFW 的反向 ssh 隧道。通常会在MyFW受保护端的用户机器C上创建本地隧道。本地 ssh 隧道将根据需要连接到 MyFW 的反向隧道。

如果有人闯入机器 A，并找到反向隧道，我不希望他们能够使用反向隧道来访问 MyFW 的隧道入口（端口）之外的内容。

我尝试过什么

我使用 ssh 和隧道已经有几年了，所以我了解它们的一般配置和操作。为了进行测试，我在办公桌上安装了两台机器，机器 A 和 B。两台机器都是 Linux 机器，都没有防火墙。目的是让最简单的设置发挥作用。

我首先在机器 A 上创建 ssh 密钥：

ssh-keygen

以通常的方式。

将用户“隧道”添加到充当 MyFW 的机器 B。以下命令由另一个用户使用 sudo 执行。

useradd tunnel -m -d /home/tunnel -s /bin/true

隧道用户没有密码。我创建了一个主目录，因为上面的命令没有。

mkdir /home/tunnel/.ssh

我为用户隧道创建了 ssh 密钥并将它们放在/home/tunnel目录中

ssh-keygen

我手动将远程机器 A 上的公钥复制到 MyFW 机器 B 中的 /home/tunnel/.ssh/authorized_keys 文件中。

我在 ssh 配置文件中设置值：

AllowTcpForwarding Yes
GatewayPorts yes
ExitOnForwardFailure=yes

这样做的目的是在防火墙上创建用户，以创建和链接隧道，同时阻止黑客的任何访问尝试。真正的远程机器 A 上没有任何有价值的东西，因此即使黑客破坏了它也没有多大关系。

测试

为了进行测试，我在远程机器 A 上设置了本地隧道，然后尝试从机器 A ssh 到 MyFW。

这适用于普通“用户”：

$ ssh -L 9022:localhost:222 [email protected]
$ ssh localhost -p 9022

正如预期的那样，第一个命令创建隧道。第二条命令通过 ssh 隧道连接到另一端计算机的 CLI。

但这不适用于受限的“隧道”：

$ ssh -L 9222:localhost:222 [email protected]
$ ssh localhost -p 9222

CLI 报告连接已关闭。我在系统日志中看不到任何内容来显示问题所在。

鉴于隧道用户没有 shell，我是否应该期望隧道 ssh 能够工作？当我写这篇文章时，我想也许不是。我该如何测试隧道？

问题

我究竟做错了什么？？

有人可以尝试一下并在我的中发布一组工作说明或错误吗？

如何测试具有受限用户的隧道？

编辑

用户隧道帐户是在没有密码的情况下创建的。这会导致使用 ssh 时出现问题，因为报告隧道帐户已锁定。

帐户锁定的修复方法位于此链接。

似乎创建一个没有密码的帐户来试图阻止密码黑客攻击（如果密码不存在则无法破解），这是一个坏主意，并且会削弱安全性。