できるだけ少なく読み、書き込み、実行できるようにユーザーアカウントをロックするにはどうすればよいですか?

できるだけ少なく読み、書き込み、実行できるようにユーザーアカウントをロックするにはどうすればよいですか?

Arch Linuxユーザーアカウントをできるだけロックしたいです。このアカウントに必要な唯一の機能は、クライアントがインターネット用のトンネルを作成できるようにする非ターミナルSSHセッションを許可することです。

状況は、いくつかの友人とリモート接続を共有したいです。アカウントにSSHキーを入力し、必要に応じてプログラムを設定します。

問題は、キーファイルを保護する能力について100%確信したくないということです。私は家庭的な状態を維持しながら、妥協による潜在的なダメージを最小限に抑え、セキュリティについてさらに学ぶ機会があります。

完全に隔離またはロックされたアカウントを取得する方法はありますか? SSH接続は許可されていますが、端末アクセスは拒否できますか?

助けてくれてありがとう!

答え1

ファイルにキーを追加するときにauthorized_keysキーが実行できる操作を制限するためのいくつかのオプションがあります。この場合、すべてのコマンドの実行を無効にできます。ちょうど前にcommand=""

たとえば、

command="" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc7nKsHpuC6W/U131p0yDh455sLE9pWmFxdK...

ユーザーが接続したい場合は、-Nに渡す必要がありますssh。これはssh、クライアントにコマンドの実行を試みずに接続を開くように指示します(または構成されている場合はトンネリング)。クライアントが起動せずに-Nすぐに切断されます。

たとえば、

ssh -N -D 8080 host.example.com

関連情報