SSHジャンプホストはForceCommandを実行しません。

SSHジャンプホストはForceCommandを実行しません。

SSHD設定に「ForceCommand」がある場合は、ホストに直接ログインすると、「ForceCommand」で指定されたスクリプトが実行されることがわかります。ちなみに、ホストをジャンプホストとして使用すると、「ForceCommand」が実行されていることがわからないため、ジャンプホストの観点から、ユーザーがターゲットホストに接続できることを確認するスクリプトを作成しようとしています。ジャンプホストにこれを実行できるスクリプトを呼び出す方法についてのアイデアはありますか?

答え1

を使用すると、サーバーはJumpHostシェルを開かず、IO転送のみを使用して他のホストに接続します。ユーザーがターゲットホストに接続できることを確認する必要がある場合は、できるだけ早く、好ましくはpamで認証しながらこれを行う必要があります。ForceCommandアクセス権を確認するには遅すぎます。

残念ながら、サーバーでJumpHostのターゲットが何であるかを簡単に確認する方法はありません。クライアントはソケットを取得し、それを使用して他のホストに接続します。

接続クライアントが実行できる操作を制限する場合(公開鍵認証が使用されていると仮定)、スクリプトの使用に固執する場合は、この情報を追加で提供できるオプションまたはpermitopen同じファイルオプションを使用できます。authorized_keysAuthorizedKeysCommand

関連情報