Não, normalmente não requer perfil diferente, você pode encapsular e trabalhar em cli remoto na mesma sessão e perfil.
No entanto, com a configuração especial, é possível restringir o uso de tunelamento e cli de várias maneiras através da configuração de chaves sshd / autorizadas:
Instâncias do servidor SSH ouvindo em portas diferentes:
- encapsulamento só é possível através de uma porta TCP específica
- acesso ao terminal só é possível através de uma porta TCP específica
Restrições de acesso SSH usando authorized_keys:
- encapsulamento possível apenas com chave RSA específica usada para efetuar login
terminal - somente possível com chave RSA específica usada para efetuar login
Restrições de acesso SSH usando correspondência de usuário / grupo:
- encapsulamento permitido apenas para contas de usuário específicas
Terminal - permitido somente para contas de usuários específicas
Embora acima seja possível, na maioria das vezes não é implementado assim e quando alguém tem acesso cli ele também poderia trabalhar com restrições de tunnelin implementando o protocolo mock tunelamento, por exemplo, através de dados de tubulação através da sessão ssh cli normal.
Isso não exigirá nada especial, binários padrão disponíveis na maioria dos servidores serão suficientes.
Você também pode querer dar uma olhada nesta resposta falando sobre os canais do protocolo SSH: link