Дополнительные меры безопасности для системного журнала через SSH

В настоящее время я работаю над установкой безопасных соединений системного журнала между несколькими серверами Fedora. Это моя текущая установка

192.168.56.110 (сервер системного журнала) <----> 192.168.57.110 (агент системного журнала)

От агента я запускаю эту команду:

ssh -fnNTx -L 1514:127.0.0.1:514 syslog_user@192.168.56.110

Это прекрасно работает. У меня есть rsyslog на syslog-agent, указывающий на @@ 127.0.0.1: 1514, и он правильно перенаправляет все на сервер на порт 514 через туннель. Моя проблема в том, что я хочу заблокировать это. Я собираюсь использовать ssh-ключи, так что это будет автоматизировано, потому что с сервером будет разговаривать несколько агентов. Вот мои опасения.

1. Кто-то попадает в syslog-agent и напрямую входит на сервер.
   • Я позаботился об этом, убедившись, что syslog_user имеет оболочку / sbin / nologin, чтобы пользователь вообще не мог получить оболочку.
2. Я не хочу, чтобы кто-то мог туннелировать другой порт через ssh. Ex. - 6666: 127.0.0.1: 21.
   • Я знаю, что моя первая линия защиты от этого - просто ничего не слушать на этих портах, и это не проблема. Однако я хочу иметь возможность как-то заблокировать это.

Есть ли на сервере какие-либо настройки sshd_config, которые я могу использовать, чтобы сделать это, где только порт 514 может быть туннелирован через ssh? Есть ли какие-либо другие серьезные проблемы безопасности, которые я упускаю из виду на данный момент? Заранее благодарим за вашу помощь / комментарии.