SSHを介してWebトラフィックをトンネリングしている間、インタラクティブシェルアクセスを無効にできますか？

4年後、この回答は更新に値します。もともと私はauthorized_keysを自分で使用していましたが、一部の特定のケースではおそらくそれを使用するでしょうが、中央のsshd_configサーバー構成ファイルを使用することもできます。

sshd_config

proxy-onlyやMatchの個々のユーザーなどのグループを（特定のユースケースで）指定できます。 sshd_config内。これは、グローバル設定の後に行われ、グローバル設定で指定された設定の一部を取り消し、繰り返し、または調整します。

注：sshd_config(5) で使用される構文/ディレクティブの一部は、manssh_config(5)のページ。特に、 ssh_config(5)の[〜＃〜]パターン[〜＃〜]セクションを必ずお読みください。 。

グループの場合、これはMatchブロックが次のように始まることを意味します。

Match group proxy-only

次の基準をMatchできます：User、Group、Host、LocalAddress、LocalPortおよびAddress。複数の条件に一致させるには、条件とパターンのペアをカンマで区切ります（上記のgroup proxy-only）。

簡潔にするために従来は適宜インデントされているこのようなブロック内で（そうする必要はありません）、そのグループのメンバーのすべてのauthorized_keysファイルを編集する必要なく、ユーザーグループに適用する設定を宣言できます。

no-ptyのauthorized_keys設定はPermitTTY no設定によってミラーリングされ、command="/sbin/nologin"はForceCommand /sbin/nologinになります。

さらに、ユーザーをホームフォルダーにchroot- ingするなど、管理者のパラノイアを満たすためにさらに多くの設定を設定することもできます。

Match group proxy-only
    PermitTTY no
    ForceCommand /sbin/nologin
    ChrootDirectory %h
    # Optionally enable these by un-commenting the needed line
    # AllowTcpForwarding no
    # GatewayPorts yes
    # KbdInteractiveAuthentication no
    # PasswordAuthentication no
    # PubkeyAuthentication yes
    # PermitRootLogin no

（コメントアウトした行が必要かどうか、または必要に応じてコメントを外してください）

%hは、ユーザーのホームディレクトリに置き換えられるトークンです（%uはユーザー名を示し、%%はパーセント記号を示します）。 ChrootDirectoryは、sftp-onlyユーザーを制限するのに特に便利です。

Match group sftp-only
    X11Forwarding no
    AllowTcpForwarding no
    ChrootDirectory %h
    ForceCommand internal-sftp
    PasswordAuthentication no

certainディレクティブのみがMatchブロックで使用できることに注意してください。詳細については、manページ sshd_config(5) を参照してください（Matchを検索）。

authorized_keys

NB：この発言の下の部分は私の元の答えでした。その間-しかし、それはあなたの正確なsshdバージョンの機能にも依存します-ほとんどの場合、私は上記の方法を選びます。

はい、できます。公開鍵を割り当てるのと同じくらいきめ細かくできます。 ajdeconが推奨するnologinに加えて、authorized_keysのキーエントリの前に以下を設定することをお勧めします。

no-pty ssh-rsa ...

No ptyは、そのキーに疑似端末を割り当てないようにサーバー側に指示します。

これを前に付けることにより、特定のキーに対してnologinなどの実行を強制することもできます。

command="/sbin/nologin",no-pty ssh-rsa ...