Неспособный в Кв. - добираются после изменения настроек брандмауэра
Можно использовать command ключевое слово в authorized_keys для ограничения выполнения одной единственной командой для конкретного ключа, как это:
command="/usr/local/bin/mysync" ...sync public key...
Обновление: при определении простого сценария как команды, можно проверить пользователя команды, первоначально предоставленного:
#!/bin/sh
case "$SSH_ORIGINAL_COMMAND" in
/path/to/unison *)
$SSH_ORIGINAL_COMMAND
;;
*)
echo "Rejected"
;;
esac
apt-get может использовать FTP, в дополнение к HTTP, но Вы не позволяете FTP через брандмауэр.
Необходимо принять под ВЫХОДНЫМ целевым портом 80 (http), 21 (ftp), и возможно 8080.
Кроме того, я не знаком с интерфейсом Webmin, но необходимо удостовериться, что все "установленные, связанные" соединения позволяются, потому что apt будет использовать случайный высокий порт числа локально, и это - то, где данные будут получены. "Установленное, связанное" правило не является явным в Вас конфигурация, таким образом, или это неявно в Webmin, или необходимо будет добавить его.