SSH / VNC
2026年4月7日
2026 クラウドMac向けチームSSH TCP転送:AllowTcpForwarding、PermitOpenと監査チェックリスト
MacLogin Security Team
2026年4月7日
約9分
SSHポート転送は便利ですが統制がないと外向きの抜け穴になります。Apple SiliconクラウドMacでiOSビルドやOpenClawを運用するチームはLocalForwardを常用します。文書化された方針がないと、侵害された端末から内製サービスへピボットされる恐れがあります。
参照:バスチョンと直結SSH、OpenClawゲートウェイトンネル、SSH鍵ローテーション。デフォルトはsshdで転送を制限し、承認済み用途を記録し、変更はチケットで。
対象となるチーム
- プラットフォームが請負者と社員で同一MacLoginノードを共有する場合。
- セキュリティ/コンプライアンスがデータの出口を説明する必要がある場合。
- 自動化リードがLocalForwardでOpenClawやCIトンネルを張る場合。
判断マトリクス
| パターン | 主なリスク | 推奨方針 |
|---|---|---|
| トンネル用途が未文書化 | 闇ピボット | AllowTcpForwarding no チケット化まで no |
| OpenClaw/開発GW | localhost露出過多 | AllowTcpForwarding local + 127.0.0.1 — 127.0.0.1 のみにバインド |
| DB/内部APIデバッグ | 横展開 | PermitOpen PermitOpenで許可先+期限付き |
警告: 共有レンタルホストで
GatewayPorts yes はほぼ正当化できません。重要なsshd設定
- AllowTcpForwarding — ビルドが対応すれば
localを優先。 - PermitOpen — リモート転送の宛先を限定。
- Match — 自動化ユーザーとブレイクグラスで厳しさを分ける。
ヒント: 変更後は
sudo sshd -t を実行。詳しくは SSH切断・keepaliveの記事。5ステップ導入
- 棚卸:~/.ssh/config の LocalForward / RemoteForward を洗い出す。
- ベースライン:
sshd -Tを版管理Runbookに保存。 - パイロット:ステージングノードで厳しいMatchを試す。
- 周知:承認済みポート表を 初回SSH信頼オンボーディングと併記。
- 検証:拒否される転送を試しログを確認。
監査とインシデント
月次で log show をサンプリングしチケットと突合。鍵ローテ前に証跡を保全—SSH鍵ガイド参照。
FAQ
モバイル向け短答(構造化データと同趣旨)。
AllowTcpForwardingは常に無効? 常にではありません。トンネル不要なビルド専用は可。OpenClaw利用チームは制限付きが適切。
PermitOpenはFWの代替? いいえ。宛先制限のみでセグメント化と監視は別途。
例外の承認者は? セキュリティまたはプラットフォームが期限付きチケットで承認しCMDBに紐付け。
