Les équipes doivent-elles autoriser RemoteForward par défaut sur un Mac cloud partagé ?

Refus par défaut pour des locations de type multi-locataire, sauf si un ticket documente le besoin métier. RemoteForward expose un comportement d’écoute côté serveur et peut créer des chemins d’entrée inattendus ; préférez LocalForward vers des services en boucle locale avec des ports documentés.

Comment cela se relie-t-il aux architectures bastion ou ProxyJump ?

Les bastions centralisent l’authentification ; la politique de transfert s’applique aussi sur le saut interne. Alignez PermitOpen et AllowTcpForwarding sur le même runbook que les chaînes ProxyJump documentées dans le guide bastion vs SSH direct.

Le SOCKS dynamique (-D) est-il acceptable sur un hôte de build de production ?

Rarement sur des nœuds partagés. SOCKS transforme le Mac en relais de sortie générique et complique la DLP. Si nécessaire pour un court débogage, limitez-le dans un ticket, restreignez les IP sources, puis désactivez-le ensuite.

Guide SSH / VNC 7 avril 2026

2026 Politique de sécurité du transfert de ports SSH sur Mac cloud : LocalForward, RemoteForward et SOCKS

Équipe sécurité MacLogin 7 avril 2026 ~8 min de lecture

Le transfert de ports SSH est la plomberie discrète derrière les tableaux de bord de bases de données, les API internes et les flux passerelle OpenClaw sur des Mac Apple Silicon cloud loués. C’est aussi le moyen le plus rapide d’ouvrir des brèches accidentelles sur un hôte partagé. Ce modèle de politique 2026 offre aux responsables sécurité et plateforme une matrice de décision, des leviers concrets dans sshd_config et un chemin d’approbation compatible tickets pour garder la vélocité des ingénieurs sans contourner la gouvernance.

Faites le lien avec bastion vs SSH direct pour la conception des sauts, passerelle OpenClaw distante sur SSH pour les schémas LocalForward applicatifs, et rotation des clés SSH afin de lier les transferts à des identités nommées.

Qui a besoin d’une politique de transfert écrite

Ingénieurs sécurité qui doivent expliquer aux auditeurs pourquoi le port 5432 est apparu soudainement sur un Mac de build.
Responsables plateforme exploitant des nœuds MacLogin à HK, JP, KR, SG ou US avec accès mixtes prestataires et salariés.
Propriétaires d’automatisation reliant des webhooks CI ou des passerelles d’agents sans exposer d’écouteurs bruts sur 0.0.0.0.

Comparaison des modes de transfert (2026)

Mode	Usage typique	Profil de risque	Position par défaut
-L LocalForward	Atteindre un service en boucle locale cloud depuis un portable	Moyen—mauvais bind possible sur le LAN	Autoriser avec ticket et cibles loopback
-R RemoteForward	Exposer un service portable côté cloud	Élevé—entrée inattendue	Refuser sauf exception signée
-D SOCKS dynamique	Proxy de sortie générique via le Mac	Élevé—angle mort DLP	Accès d’urgence limité dans le temps

Règle de conception : Préférez les transferts qui se terminent sur 127.0.0.1 sur le Mac cloud, puis ajoutez TLS en périphérie ou VPN si des clients non-SSH ont besoin d’accès—alignez-vous sur proxy inverse TLS pour webhooks pour les chemins HTTPS.

Paramètres sshd qui comptent vraiment

Lorsque votre runbook autorise des changements sur l’hôte loué, alignez ces directives OpenSSH sur la matrice ci-dessus :

AllowTcpForwarding : no pour les comptes d’urgence ; local si vous ne voulez que des flux de type -L.
PermitOpen : liste blanche des destinations (p. ex. 127.0.0.1:18765) au lieu d’Internet ouvert depuis des shells partagés.
GatewayPorts : gardez no sauf publication explicite d’un transfert—le bind public sur un Mac loué se justifie rarement.

Avertissement : Testez les changements depuis une deuxième session avant de fermer le shell admin. Associez dépannage keepalive pour ne pas confondre ajustements de politique et réseau instable.

Runbook d’approbation en cinq étapes

Champs ticket : identifiant ingénieur, plage IP source, hôte:port cible, mode (-L/-R/-D), fenêtre horaire, propriétaire métier.
Coche risque : classe de données (PII, secrets, public) et si le transfert contourne le ZTNA existant.
Revue par les pairs : second accusé de réception ingénieur plateforme pour RemoteForward ou SOCKS.
Mise en œuvre : encodez les transferts approuvés dans des blocs ~/.ssh/config, pas des flags CLI ad hoc dans le chat.
Expiration auto : rappel calendrier pour retirer les stanzas Match User ou entrées ACL à la fin de la fenêtre.

FAQ

MacLogin applique-t-il la politique sshd pour moi ? Vous restez responsable des identités et du tunnel—utilisez l’aide pour les bases de connectivité et votre propre contrôle des changements pour sshd_config.

Où placer de nouveaux nœuds ? Comparez le RTT sur les tarifs avant d’étendre des transferts qui supposent une région précise.

Livrez des tunnels avec la paperasse, pas des surprises

Ajoutez des nœuds Apple Silicon par région et versionnez les règles de transfert à côté de votre config SSH.

Voir les offres Aide connexion