Re: ssh -N en alleen maar ssh -N toestaan

[Paul van der Vlis <paul@vandervlis.nl>]

Op 26-03-2023 om 23:51 schreef Paul van der Vlis:
> Hoi Geert en anderen,
>
> Op 26-03-2023 om 12:50 schreef Geert Stappers:
> > Hoi,
> >
> > Uit `man 1 ssh`
> >
> >    -N  Do not execute a remote command.
> >        This is useful for just forward ports.
> >
> >
> > Nu is `ssh -N` een client kant ding.
> >
> > Hoe aan server kant borgen dat alleen maar port forwarding gebeurd?
> >
> >
> >
> > Ik had gedacht om het dicht te timmeren door aan authorized_keys
> > op de server wat toe te voegen aan de regel met de pubkey voor
> > het account dat de `ssh -N` moet gaan doen.
> >
> > Er is "no-port-forwarding"
> >    
> > https://www.ssh.com/academy/ssh/authorized-keys-openssh#no-port-forwarding
> > maar niet iets als "only-port-forwarding"
> >    https://www.ssh.com/academy/ssh/authorized-keys-openssh
> >
> > Wat zien jullie zoal aan mogelijkheden om aan server kant
> > er voor te zorgen dat SSH client alleen maar een verbinding
> > voor de portforward maakt, dat shell access niet kan?
>
> Wat ik doe aan de server-kant is /usr/sbin/nologin als shell gebruiken.

Oh, en ik zie dat ik ook dit nog doe in sshd_config:
-----
UsePAM no
Match User een,twee
  AllowTcpForwarding remote
  AllowStreamLocalForwarding no
  X11Forwarding no
  PermitTTY no
  PermitEmptyPasswords yes
  PasswordAuthentication yes
-----

Kritiek is welkom ;-)

Ik heb trouwens nog een kleine extra beveiliging in de firewall, mensen 
moeten zich eerst ergens aanmelden, dan pas krijgt hun IP toegang.

Groet,
Paul



--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/