小学生のユーザーグループがsshJupyter、rstudioなどのデータサイエンス/プログラミングリソースにアクセスするためにローカル転送を使用してサーバーに接続できるようにします。
私は最近、学生が実行中に自分がどのホストにいるかを追跡できないことを発見しましたssh。たとえば、生徒は走ってssh -L foo:localhost:foo host1から別のホストに接続するためにhost1走ります。もちろん、これは現在待機しているため、他のすべてのユーザーへのポート転送を中止します。ssh -L foo:localhost:foo hostNhost1foohostfoo
生徒がリモートホストでクライアントを実行sshできないようにホストを一時的に制限しました。ただし、ある時点では、ユーザーがアクセスする必要がない場合でもssh完全に除外することはできません。ssh
ユーザーが危険なコマンドを実行しないように/etc/ssh/ssh_config設定する方法(クライアント側)はありますか?たとえばssh、。foohost1
ありがとう
答え1
クライアント側を簡単に制御することはできませんが、で定義されているようにサーバー側を制御できます/etc/ssh/sshd_config。すべての転送オプションを無効にしてサービスを再起動します。
DisableForwarding yes
ssh -Lこれはorを使用する簡単な方法を排除しますssh -Rが、誰かがアプリケーションプロキシを設定するのを防ぐことはできません(たとえば、netcatorを使用socat)。