SSH authorized_keys 限制选项详解
SSH 公钥认证不仅提供无密码登录的便利,还支持细粒度的访问控制。通过 authorized_keys 中的选项,可以限制持有该公钥的用户能够执行的操 作——比如禁止端口转发、限制允许执行的命令、甚至限定登录来源 IP。这些选项是 SSH 服务器安全加固的重要手段。 authorized_keys 基础回顾 在深入限制选项之前,先回顾 authorized_keys 文件的基本格式: 1 [options] ssh-rsa AAAAB3NzaC1... user@hostname options 部分是可选的,多个选项用逗号分隔。这一部分就是我们控制公钥权限的入口。 常用限制选项详解 1. command:强制执行特定命令 command 选项强制使用该公钥登录时只能执行指定的命令,忽略客户端发送的任何命令。 1 2 # 限制只能执行特定命令 command="/usr/bin/git-shell-wrapper" ssh-ed25519 AAAA... user@workstation 实际效果: 1 2 $ ssh git@server # 强制执行 /usr/bin/git-shell-wrapper,忽略用户输入的其他命令 这在提供 git 访问权限时特别有用,确保用户只能运行 git 相关操作,无法获得完整 shell。 2. from:限制登录来源 IP from 选项限定公钥只能从特定主机或网络登录。 1 2 3 4 5 6 7 8 9 10 11 # 只允许从特定 IP 登录 from="192.168.1.100" ssh-ed25519 AAAA....