Depois de algumas pesquisas e experiências, essa combinação de opções parece dar certo:
command="",restrict,port-forwarding,permitopen="localhost:80"
Deixe-me passar por cada um deles individualmente:
-
command=""
não permite que qualquer comando seja executado usando esta chave
-
restrict
Desative todas as opções, como alocação de TTY, encaminhamento de porta, encaminhamento de agente, user-rc e encaminhamento do X11 de uma só vez.
-
port-forwarding
Permite o encaminhamento de portas TCP, mas veja abaixo.
-
permitopen="localhost:80"
Limita o encaminhamento de porta TCP à porta local
80
. Essa é a única única coisa que essa chave deve permitir.
Eu consegui descobrir isso principalmente lendo capítulo Arquivos de configuração do cliente do OpenSSH WikiBook , portanto a maioria do crédito vai para seus autores (Lars Noodén et al.). A parte que faltava era port-forwarding
- sem que o encaminhamento seja proibido, mesmo que permitopen
sugira o contrário.