リバースSSHトンネルをアクティブに安全に保つ方法

リバースSSHトンネルをアクティブに安全に保つ方法

NATの背後にあるコンピュータにSSH経由で接続する必要があります。これを行うには、このコンピュータ(SSHサーバーがインストールされている)に公開されているサーバー(middleman.example.org)に逆SSHトンネルを設定します。これで、どこからでもこのコンピュータにアクセスできます。
ssh -f -N -T -R 9999:localhost:22 -p 7777 [email protected]

ssh -J [email protected]:7777 -p 9999 user_behind_NAT@localhost

  1. このトンネルを数日、さらに数週間運営する必要があります。私はこれを達成する2つの方法について聞いた。 (a)-o TCPKeepAlive=yes上記のオプションに渡します。
    (b)autossh代わりに使用します。ssh

これら2つのオプションの違いは何ですか?どんな場合にどんな方が良いですか? 2つを同時に使用することは意味がありますか?

  1. システム管理者として、middleman.example.org私はNATの背後にあるこのユーザーを信頼したくないので、mmアカウントをできるだけ厳密に制限したいと思います。最良のシナリオでは、インタラクティブシェルまたはsftpを無効にしてリバースSSH接続のみを許可したいと思います(私は通常のアカウントを使用してリバーストンネルに「ジャンプ」します)。これは可能ですか?

関連情報