遠端存取
2026年4月7日
2026 雲端 Mac 團隊 SSH TCP 轉送政策:AllowTcpForwarding、PermitOpen 與稽核清單
MacLogin 安全團隊
2026年4月7日
約 9 分鐘
SSH 埠轉送若無治理,容易變成外向跳板。租用 Apple Silicon 雲端 Mac 做 iOS 建置或 OpenClaw 的團隊常使用 LocalForward;若無書面政策,遭入侵的筆電可能經租用工站存取內部資料庫。
延伸閱讀:堡壘與直連 SSH、OpenClaw 閘道 SSH 隧道、SSH 金鑰與 2FA。預設收緊 sshd 轉送規則,記錄核准情境,變更一律走工單。
誰需要轉送政策
- 平台團隊在承包商與員工之間共用 MacLogin 節點。
- 安全與合規需說明資料如何從租用工站流出。
- 自動化負責人以 LocalForward 運行 OpenClaw 或 CI 隧道。
決策矩陣:關閉、限制或允許
| 情境 | 主要風險 | 建議政策 |
|---|---|---|
| 無文件的隧道 | 影子跳板 | AllowTcpForwarding no 工單登記用途前保持關閉 |
| OpenClaw / 開發閘道 | 本機埠暴露過大 | AllowTcpForwarding local + 127.0.0.1 — 僅綁定 127.0.0.1 |
| 資料庫或內網 API 除錯 | 橫向移動 | PermitOpen PermitOpen 白名單並限時 |
注意: 共用租用工站幾乎不應啟用
GatewayPorts yes。2026 關鍵 sshd 參數
- AllowTcpForwarding — 總開關;若 OpenSSH 支援,優先
local。 - PermitOpen — 限制遠端轉送目的地。
- Match — 自動化帳戶與應急帳戶採不同嚴格度。
提示: 變更後先執行
sudo sshd -t;詳見 SSH keepalive 與斷線排查。MacLogin 節點五步導入
- 盤點:檢查
~/.ssh/config的 LocalForward / RemoteForward。 - 基線:保存
sshd -T輸出於版控文件。 - 試點:先在預發節點套用受限 Match。
- 公告:核准埠映射與 首次 SSH 信任清單一併發布。
- 驗證:測試被拒轉送並確認日誌原因。
稽核與事件應變
每月抽樣 log show 與工單對照;事件時保留握手證據再輪替金鑰,見 SSH 金鑰輪替。
常見問題
以下簡答呼應頁面結構化 FAQ。
應全面關閉 AllowTcpForwarding 嗎? 未必。無隧道需求可關;OpenClaw 等情境應採受限轉送。
PermitOpen 能取代防火牆嗎? 不能,仍需分段與監控。
誰核准例外? 安全或平台以工單核准並設到期日,CMDB 綁定責任人。
