En effet, cette variable conserve la commande passée à ssh.
D'où la solution trouvée sur le net : Passer un script en paramêtre de connexion dans le fichier authorized_keys
command="/usr/bin/rs" ssh-dss AAAAB3Nza C1kc3MAAAEBAKYJenaYvMG3nHwWxKwlWLjHb77 CT2hXwmC8Ap+fG8wjlaY/9t4uA+2qx9JNorgdrWKhH 7FZxosCRIuYbhEEKu2Z9Dgh+ZbsZ+9FETZVzKBs4 fySA6dIw6zmGINd+KY6umMWyJNej2Sia70fu3XLH j2yBgN5cy8arlZ80q1Mcy763RjYGkR/FkLJ611HWIA= thisuser@thishost
et dans le fichier rs, on retrouve :
#!/bin/sh
case "$SSH_ORIGINAL_COMMAND" in *\&*) echo "L'accès ssh est prohibé" ;; *\;*) echo "L'accès ssh est prohibé" ;; rsync\ --server*) $SSH_ORIGINAL_COMMAND ;; *) echo "L'accès ssh est prohibé" ;;
Et voilà, le tour est joué. On se connecte bien avec rsync, sans problème, mais lorsque l'on tente une connexion ssh pure, on se fait jeter :
$ ssh toto@hote.org L'accès ssh est prohibé Connection to hote.org closed.
Merci donc à l'auteur de ce howto. Demain, si j'ai le temps, je regarde le shell restreint rssh