Re: ssh -N en alleen maar ssh -N toestaan (succes)
- To: debian-user-dutch@lists.debian.org
- Subject: Re: ssh -N en alleen maar ssh -N toestaan (succes)
- From: Geert Stappers <stappers@stappers.nl>
- Date: Sun, 2 Apr 2023 12:09:13 +0200
- Message-id: <[🔎] ZClUSel3RzrZPFOY@gpm.stappers.nl>
- In-reply-to: <600de8d7-3a1a-65c3-c106-b0c1e80722a1@vandervlis.nl>
- References: <ZCAjYslcuS8VPojk@gpm.stappers.nl> <c2070b6a-c131-29d8-57bf-c5fc8fe715ef@vandervlis.nl> <f401fd83-246f-8986-d780-af0624812460@vandervlis.nl> <ZCIJEWIJCR6cqGev@gpm.stappers.nl> <600de8d7-3a1a-65c3-c106-b0c1e80722a1@vandervlis.nl>
On Tue, Mar 28, 2023 at 09:32:56PM +0200, Paul van der Vlis wrote:
> Op 27-03-2023 om 23:22 schreef Geert Stappers:
> > Op 26-03-2023 om 12:50 schreef Geert Stappers:
> > >
> > > Uit `man 1 ssh`
> > >
> > > -N Do not execute a remote command.
> > > This is useful for just forward ports.
> > >
> > > Nu is `ssh -N` een client kant ding.
> > >
> > > Hoe aan server kant borgen dat alleen maar port forwarding gebeurd?
> > >
> > > Ik had gedacht om het dicht te timmeren door aan authorized_keys
> > > op de server wat toe te voegen aan de regel met de pubkey voor
> > > het account dat de `ssh -N` moet gaan doen.
> > >
> > > Er is "no-port-forwarding"
> > > https://www.ssh.com/academy/ssh/authorized-keys-openssh#no-port-forwarding
> > > maar niet iets als "only-port-forwarding"
> > >
> >
> > kunnen oplossen door
> >
> > command="echo Don\'t do that"
> >
> > voor de pubkey in ~/.ssh/authorized_keys te zetten. Dat is aan server
> > kant.
> >
> > Als ik `ssh -N -R 2222:127.0.0.1:22 server` doe, krijg ik de gewenste
> > portforward. Als ik iets zonder `-N` doe, komt er "Don't do that" terug.
>
> Waarom geen shell die alles weigert?
Poortnummer van de gewenste port forward is langer dan 1025. Om dan de port
open te krijgen is superuserprivilege nodig. Daar ga ik de shell niet van
dichtzetten.
> Groet,
> Paul
Groeten
Geert Stappers
--
Silence is hard to parse
Reply to: