SSH隧道是否需要单独的SSH配置文件？

Question

我仍然在试图了解隧道是如何工作的，但是我在AWS上有一些实例，我使SSH隧道能够查看一些用于监视机器上运行的应用程序的web应用程序，我想知道我是否可以在隧道会话配置文件上完成我的正常工作。

我已经把SSH放入机器中去做工作，我创建了另一个profile会话，非常类似于最初的Putty会话，但它是用于隧道转发的。我跟踪了AWS的这里的说明，这非常简单。不同之处在于，新隧道显然启用了动态分析。我可以在这个启用隧道的会话配置文件上做我所有的正常工作吗？或者我应该把它们分成一个会话进行正常工作，另一个会话用于隧道转发？

Answer 1

与“启用隧道”会话或“正常”ssh会话没有工作区别。唯一的原因是它还携带着隧道。

通常情况下，通常会看到添加了选项-f -N将进程转移到后台，而不是在目标上执行远程操作。这可能有助于让您在不担心意外的exit或其他因素的情况下打开隧道。

Answer 2

不通常不需要不同的配置文件，您可以在同一个会话和配置文件上对远程cli进行隧道和工作。

但是，通过特殊配置，可以通过sshd/授权密钥配置以多种方式限制隧道和cli的使用：

侦听不同端口的

SSH服务器实例：

• 只能通过特定的TCP端口进行隧道操作。
• 终端只能通过特定的TCP端口进行访问

使用

：authorized_keys:

的SSH访问限制

• 只有使用用于登录的特定RSA密钥才能进行隧道操作
• 终端只能使用特定的RSA密钥登录

使用用户/组匹配的

SSH访问限制：

• 隧道只允许特定的用户帐户。
• 终端只允许特定的用户帐户。

虽然上面有可能，但它通常不是这样实现的，而且当一个人拥有cli访问权限时，他也可以通过实现模拟隧道协议来绕过隧道林限制，例如通过普通ssh会话传输管道数据。这将不需要任何特殊的，标准的二进制文件在大多数服务器上就足够了。

您可能还想看看这个关于SSH协议通道的答案：https://unix.stackexchange.com/a/86162/27083