sshd_config
のマニュアルページのAllowTCPForwarding
オプションについては、次のように記載されています。
AllowTcpForwarding
TCP転送を許可するかどうかを指定します。デフォルトは「yes」です。TCP転送を無効にしても、ユーザーがシェルアクセスも拒否されない限り、セキュリティは向上しません。いつでも独自のフォワーダーをインストールできます。
誰かが詳しく説明してもらえますか?誰かがTcpForwardingを回避するために独自のフォワーダーをインストールする方法がわかりません。ある種のプロキシサーバーをインストールしてから、リモートプロキシサーバーへのトンネルを作成する必要がありますか?
さて、SSH転送は一種のプロキシサーバーです。これは、一方の側で接続を受け入れ、もう一方の側で接続を確立し、次に2つの間でデータを転送することによって機能します。
これも簡単にできます。たとえば、netcatの場合:
nc -l -p 1234 ⇆ ssh user@remote 'nc remote2 80'
どこ ⇆
は、 双方向パイプ を設定する方法の1つを表します。それは多かれ少なかれそれを行うはずです(バッファリングの問題を無視します)。
組み込みのものほど良くはありませんが、もちろん、選択したスクリプト言語で少し作業をすれば、そうなる可能性があります。
シェルアクセスを持つユーザーは、自分の構成(たとえば、非特権ポートでTCP転送)を許可できます)を使用してsshd
を簡単に実行できます。したがって、通常のシステムデーモンで無効にすると、他にたくさんの硬化物を作らない限り、あまり意味がありません。