Faut-il desactiver AllowTcpForwarding sur chaque Mac cloud ?

Pas toujours. Les hotes purement build sans tunnel legitime peuvent le couper ; les equipes avec LocalForward OpenClaw ou debug DB preferent un forward restreint.

PermitOpen remplace-t-il un pare-feu ?

Non. Il limite les destinations que sshd honore ; segmentation et supervision restent necessaires.

SSH / VNC 7 avril 2026

2026 Politique SSH TCP forwarding pour equipes Mac cloud : AllowTcpForwarding, PermitOpen et audit

Q: Qui approuve les exceptions ?

La securite ou la plateforme via ticket avec date d'expiration et lien CMDB.

MacLogin Équipe Sécurité 7 avril 2026 ~9 min

Le forwarding SSH est pratique jusqu'a devenir une sortie non controlee. Les equipes sur Mac cloud Apple Silicon pour builds iOS ou OpenClaw utilisent souvent LocalForward ; sans politique ecrite, un poste compromis peut pivoter via l'hote loue.

Lire aussi bastion vs SSH direct, tunnel passerelle OpenClaw, cles SSH. Par defaut restreindre sshd, documenter les cas approuves, tracer chaque changement par ticket.

Qui en a besoin

Plateforme partageant un noeud MacLogin entre prestataires et salaries.
Securite / conformite devant expliquer les sorties de donnees.
Automatisation utilisant LocalForward pour OpenClaw ou CI.

Matrice de decision

Profil	Risque	Politique
Tunnels non documentes	Pivots fantomes	`AllowTcpForwarding no` no jusqu'a ticket
OpenClaw / passerelle dev	Exposition localhost trop large	`AllowTcpForwarding local` + 127.0.0.1 — ecoute sur 127.0.0.1 seulement
Debug DB / API interne	Mouvement lateral	`PermitOpen` PermitOpen + fenetre temporelle

Attention : GatewayPorts yes sur hotes loues partages est rarement justifie.

Reglages sshd utiles

AllowTcpForwarding — preferer local si supporte.
PermitOpen — limite les destinations des forwards distants.
Match — regles plus strictes pour comptes d'automatisation.

Astuce : Valider avec sudo sshd -t. Voir keepalive SSH Mac cloud.

Deploiement en 5 etapes

Inventaire : parcourir ~/.ssh/config pour LocalForward.
Base : archiver sshd -T versionne.
Pilote : Match restrictif sur un noeud de staging.
Com : publier la carte des ports avec onboarding confiance SSH.
Test : tenter un forward refuse et lire les logs.

Audit et incident

Echantillonner log show mensuellement. Conserver les preuves avant rotation des cles — guide cles SSH.

FAQ

Reponses courtes alignees sur le schema FAQ.

Couper AllowTcpForwarding partout ? Pas toujours. Builds sans tunnels oui ; equipes OpenClaw ont besoin d'un forward limite.

PermitOpen remplace un pare-feu ? Non. Il filtre ce que sshd accepte ; segmentation et supervision restent necessaires.

Qui approuve les exceptions ? Securite ou plateforme via ticket avec echeance et lien CMDB.

Scaler sans relacher SSH

Ajoutez des Mac Apple Silicon par region et versionnez la politique de forwarding.

Tarifs Aide connexion