Se o usuário fizer login, ele precisará ler alguns bits do sistema de arquivos. Você simplesmente não pode iniciar um shell interativo sem acesso a determinados arquivos.
Se tudo o que eles precisam fazer é autenticar o suficiente para encapsular outras conexões (incluindo, como neste caso, aproveitando o recurso de proxy SOCKS do ssh), é melhor negar ao usuário um shell interativo (por exemplo, usermod -s /sbin/nologin account
), em seguida, autentique-os sem interação ( ssh -N -D 23456 [email protected]
).
Não se esqueça de que ssh -D
requer um número de porta para vincular o proxy SOCKS local, portanto, o exemplo em sua pergunta é sintaticamente inválido.