Необходимо дать клиенту доступ к ssh для доступа к внутреннему ресурсу. Необходим либо проброс порта (предпочтительнее, т.к. даёт возможность работать с винды и непривилегированному пользователю) или VPNoverSSH (P.S. необходимо включить с серверной стороны), при этом клиент ни в коем случае не должен получить доступа к shell или SFTP.
Я читал, что для этого можно юзать /bin/false в /etc/passdw в качестве шелла юзера, но оно не решает проблему доступа к SFTP.
Есть ли у openssh возможность давать разным юзерам разные права на доступ к сервисам (шелл (и scp в нём), sftp, vpn, проброс портов) или только глобально можно отключить эли модули в нём? Можно ли глобально отключить shell? Можно ли без особых костылей запустить отдельный (второй) openssh-server с конфигом, где всё (кроме vpn и проброса портов) запрещено глобально и коннектиться может только один юзер?
Если используется проброс портов, то можно ли контролировать со стороны сервера, что и куда пробрасывает клиент? Т.е. разрешить ТОЛЬКО проброс 80-го порта машины 192.168.2.2 в локальной сети ssh-сервера на клиент и не более того?