SSHトンネル機能を制限する必要があります。ユーザーは、リモートトンネルの作成を許可せず、ローカルホストへのトンネルのみを許可する必要があります。SSH構成ですべてをセットアップしようとしましたが、TCPForwardingを完全にオフにすることしかできません。私はこれがiptablesでのみ可能だと思いますか?誰でも経験があり、私を助けることができますか?
SSHトンネル機能を制限する必要があります。ユーザーは、リモートトンネルの作成を許可せず、ローカルホストへのトンネルのみを許可する必要があります。SSH構成ですべてをセットアップしようとしましたが、TCPForwardingを完全にオフにすることしかできません。私はこれがiptablesでのみ可能だと思いますか?誰でも経験があり、私を助けることができますか?
回答:
OpenSSHの場合PermitOpen host:port、ユーザーがトンネルできる場所を制限するために使用できます。デフォルトポートでローカルにリッスンするMySQLにトンネルさせるには:
PermitOpen LocalHost:3306
sshd_configのmanページから:
PermitOpen
TCPポート転送が許可される宛先を指定します。転送仕様は、次のいずれかの形式である必要があります。
PermitOpen host:port PermitOpen IPv4_addr:port PermitOpen [IPv6_addr]:port複数の転送は、空白で区切って指定できます。anyの引数を使用して、すべての制限を削除し、転送要求を許可できます。引数noneを使用して、すべての転送要求を禁止できます。デフォルトでは、すべてのポート転送要求が許可されています。
PermitOpen localhost:*