OpenSSH игнорирует «AllowTcpForwarding no» в sshd_config

OpenSSH неожиданно применит настройки при использовании Match и не применять настройки, когда не используете Match если в какой-то более ранней позиции в конфигурации есть другой Match block.

Следующий пример демонстрирует это:

Match Group sudo
  # this is applied to sudo members
  ClientAliveInterval 20
  # this is applied to sudo members
  AllowTcpForwarding yes

# one might assume that the Match block has ended here - it did not
# the following is ALSO applied to sudo members only
X11Forwarding
AllowTcpForwarding no

Хотя в большинстве конфигураций для лучшей читаемости используется отступ, Match не заканчивается, когда заканчивается отступ.

Если все критерии в строке Match удовлетворены, ключевые слова в следующих строках переопределяют те, которые заданы в глобальном разделе файла конфигурации, пока либо другая строка Match, либо конец файла

OpenSSH будет замечать только непреднамеренные изменения конфигурации от несоответствующих Match вставка, если одна из этих опций недопустима в данном контексте. В противном случае выполнение инструкций просто станет зависимым от этого. Match состояние.

Неожиданную конфигурацию можно устранить, вставив все Match блоки строго в самом конце файла конфигурации - и размещение всей безусловной конфигурации строго над первой Match линия.

Кажется, это отлично работает для меня в поле Vagrant (openssh-server 1: 7.2p2-4ubuntu2.2)

AllowTcpForwarding no

/var/log/auth.log:

Nov 22 16:19:41 packer-qemu sshd[1164]: refused local port forward: originator 127.0.0.1 port 44540, target localhost port 22 Nov 22 16:19:46 packer-qemu sshd[1164]: refused local port forward: originator 127.0.0.1 port 44546, target localhost port 22

Вы уверены, что в вашем файле конфигурации нет чего-то еще, что каким-то образом отменяет ваши настройки? (Как заявление о совпадении)