Estou tentando restringir os usuários que se conectam via ssh em um servidor (com OpenSSH) para fazer o encaminhamento de porta local somente em determinadas portas.
Descobri que definir a opção permitopen="address:port" em seus arquivos ~/.ssh/authorized_keys faz o que eu espero.
No entanto, não é muito conveniente, pois tenho que editar todos os arquivos authorized_keys existentes e, se, no futuro, eu quiser permitir mais portas, alterar as portas permitidas, ... terei que editá-las novamente.
É algo semelhante possível para todos os usuários em um grupo, por exemplo, "permitir o encaminhamento de porta local somente no endereço: porta se o usuário pertencer a esse grupo"?
Obrigado!
EDITAR > parece que o arquivo sshd_config tem um recurso que permite isso: Match. Eu posso combinar um usuário ou um grupo e aplicar algumas configurações personalizadas para elas, dentre as quais PermitOpen, que eu devo ter pulado enquanto lia a man page pela primeira vez.
Você pode especificar blocos condicionais em /etc/ssh/sshd_config e aplicar diretivas como PermitOpen para restringir o que os usuários podem fazer. O seguinte permitiria que os membros do grupo restricted apenas encapsulassem conexões para a porta 1234 no servidor e a porta 80 no google.com
Match Group restricted
PermitOpen localhost:1234 google.com:80
Tags openssh