http://www.cyberciti.biz/tips/linux-prevent-normal-users-fro...

>[оверквотинг удален]
> Отключать нужно по логике со стороны sshd... Почитал справку - как сделать
> не нашел. Есть только упоминание об этом в описании параметра конф.файла
> AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...
> AllowTcpForwarding
>     Определяет, будет ли разрешено перенаправление TCP. По умолчанию
> ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока
> пользователям не запрещен доступ к командной оболочке, так как они всегда
> могут установить свои собственные перенаправления.
> Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить
> командную оболочку, а для каких-то разрешить...

На всякий случай опишу, зачем это нужно, может быть кто-нибудь подскажет другую реализацию?
Нужно подключить 1С на удаленном ПК к ключу 1С и файловой базой 1С, которые находятся за прокси-севером (Ubuntu) в локальной сети.
Т.е. я хотел сделать ssh-тоннели для нужных портов от удаленного ПК к ПК с ключом 1С и базой 1С и подключать по ним сетевую 1С.

>[оверквотинг удален]
> Отключать нужно по логике со стороны sshd... Почитал справку - как сделать
> не нашел. Есть только упоминание об этом в описании параметра конф.файла
> AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...
> AllowTcpForwarding
>     Определяет, будет ли разрешено перенаправление TCP. По умолчанию
> ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока
> пользователям не запрещен доступ к командной оболочке, так как они всегда
> могут установить свои собственные перенаправления.
> Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить
> командную оболочку, а для каких-то разрешить...

Надо создать специального usera с шелом nologin и им подключаться через ssh