我们有一个拥有远程服务器的客户,他想限制我们可以访问服务器的时间(大多数客户我们在本地启动了按需访问)。
我正在为他们设置一个脚本,这样他们就可以启动它,它将使用特定帐户通过 SSH 连接到我们这边并设置远程隧道 (-R),这样我们就可以从那时起访问他们的服务器。
我的问题是我不确定如何正确锁定它以便我们可以访问反向隧道,但他不能同时创建本地转发 (-L)。 sshd_config允许我限制转发。
Match User user1
GatewayPorts yes
AllowTcpForwarding yes
PermitOpen 127.0.0.1:12345
现在,这将允许他创建一个反向隧道,以便我们可以使用 YYY 协议连接回它们,但同时,它也允许他在同一端口上创建一个返回我们的本地隧道。
我是否正确理解事物?有没有办法允许反向隧道,但拒绝所有本地转发?
我们最近通过了 SOCII 1 类审核,并且正在通过 2 类审核。在我们的一些生产服务器上,我想推送一些应用程序的更新版本,我看到人们经常提到remirepo。我不想做的是危及我们对任何事情的遵守。我花了一段时间才让他们允许epel。值得追求remi吗?