Muszę ograniczyć, które porty mogą być ssh -R
przekazywane dalej przez użytkownika.
Wiem o permitopen
opcji na uprawnionych kluczach, ale jak napisano na stronie podręcznika, ogranicza ona tylko ssh -L
przekierowanie portów lokalnych
Jak omówiono tutaj, użytkownik uzyskałby to samo netcat
lub podobne, ale w tym przypadku użytkownik nie ma dostępu do powłoki
Znalazłem też ten wątek, który mówi o używaniu selinux lub LD_PRELOAD
, ale nigdy wcześniej nie konfigurowałem selinux i nie mogę znaleźć informacji, jak to zrobić LD_PRELOAD
.
może ktoś zrobił łatkę dla openssh, żeby to zaimplementować?
EDYCJA: Znalazłem ten raport o błędach, więc chyba nie został jeszcze zaimplementowany