SSH: влияние опции no-pty на вход в авторизованные ключи

Я смущен поведением restrict или же no-pty параметры входа перед ключом ~/.ssh/authorized_keys,

Для данного ключа я намеревался предотвратить любое взаимодействие, кроме запуска туннеля SSH к определенному локальному порту:

restrict,permitopen="localhost:80" ssh-rsa AAAAB3NzaC1yc2EAAA[...]3c7rmJT5/ tunnel@a.example.com

Фактический эффект заключается в том, что при идентификации с помощью соответствующего закрытого ключа я могу создать туннель, но, видимо, также выполнить произвольные команды:

tunnel@a $ ssh -i tunnel_rsa user@b.example.com

PTY allocation request failed on channel 0
Welcome to Ubuntu 16.04.2 LTS (GNU/Linux 4.4.0-64-generic x86_64)

[...]

You have new mail.

ls .ssh/
authorized_keys
id_rsa
id_rsa.pub
known_hosts

Заметка PTY allocation request failed on channel 0 сообщение в начале сеанса (которое предполагает, что опция входа в систему имеет определенный эффект) и ls .ssh/ Команда с его выводом.

Там нет подсказки, но это не то, что я собирался сделать. Может кто-нибудь, пожалуйста, пролить свет на это? Кроме того, каков предпочтительный метод ограничения данного ключа только для создания туннеля?

Обновить

с restrict туннель на самом деле не работает:

$ curl localhost:8080
curl: (52) Empty reply from server

или используя HTTPie:

$ http :8080
http: error: ConnectionError: ('Connection aborted.', BadStatusLine("''",))

со следующим выводом из ssh -L ... команда:

channel 2: open failed: administratively prohibited: open failed

Это работает с no-pty вариант вместо restricted, но оригинальная проблема остается.