Предположим, я создал учетную запись, чья оболочка входа в систему на самом деле является сценарием, который не разрешает интерактивный вход в систему и позволяет только очень ограниченный, определенный набор команд, которые будут выполняться удаленно.
Тем не менее, ssh
позволяет пользователю этой учетной записи переадресовывать порты, что является дырой.
Суть в том, что я действительно хочу, чтобы эта учетная запись настраивала конкретную конфигурацию переадресации портов, когда ssh
сеанс установлен. Но должно быть невозможно настроить произвольную переадресацию портов.
(Это приемлемое решение, если разрешенная конфигурация переадресации портов безоговорочно устанавливается как часть каждого сеанса.)