Scp .ssh klasörüne, Genel Anahtar Kimlik Doğrulama güvenliğine engel olun

0

Bunu en iyi nasıl soracağımı gerçekten çok iyi biliyorum ve arka uçta halledilir, ancak son zamanlarda ssh üzerinden genel anahtar kimlik doğrulaması dünyasına girdim. Bu da birisinin bilgisayarıma uzaktan aynı şeyi yapmasının ne kadar kolay olacağını merak etmemi sağladı. .Ssh klasörünü içine almayı engellemek veya kök izinleri veya benzeri bir şey olmadan yetkili anahtarlara anahtar eklenmesini önlemek için bir yol var mı?

Bu tür bir güvenlik sorunu, içeri girmek için parolanızın olması gerektiğini bildikleri bilgisi ile halledildi mi? Önleyici bir şekilde folyo folyo şapka doğuruyor muyum?

Teşekkürler

mac  networking  security  ssh 
utahwithak
kaynak
Parola varken neden birisinin hesabınızdaki anahtarını yetkilendirmesi gerekiyor (şifre girişi aniden yasaklanmıyorsa - bunun mümkün olduğunu sanmıyorum, ancak emin değilim - ama authorized_keysyine de kontrol etmelisiniz )? Bir problem durumunda, sadece şifreyi değiştirin ve silin authorized_keys. Hatta bir ihtiyaç duymazlar scp, sadece bir SSH bağlantısı açarlar echove dosyaya bir komut gönderirler, ya vimda anahtarı ya da anahtarı almak için bin yoldan birini kullanırlar ...
Daniel Beck

Yanıtlar:

0

Standart koruma mekanizması, aşağıdaki koşullardan herhangi biri karşılanmadığında, sunucu tarafındaki sshd'nin erişimi reddetmesidir:

  • authorized_keys.ssh klasöründeki koruma çok serbest (0600 bekleniyor).
  • $ HOME / .ssh klasöründeki koruma 0750'den fazladır.
  • $ HOME üzerindeki koruma 0750'den fazladır
Alain Pannetier
kaynak
Bir şifre ile giriş yaparak düzeltilemeyecek hiçbir şey yok. Klasörlerden birine kök tarafından sahip olma ve tam izinlere sahip olan grubun tek üyesi olma dışında, ancak bunun iyi bir fikir olduğundan emin değilim.
Daniel Beck
Öyleyse, scp'i .ssh klasörüne reddetmek istersen, onu 800 ye ya da başka bir şeye boğabilirsin? bu diğer ayarları bozar mı?
utahwithak
@cwieland, Demek istediğim, scp'nin root veya kendinizi taklit etmediğiniz sürece scp'nin yetkili_key dosyanıza erişememesi gerektiği, bu durumda uzaktaki istemcinin makinenize zaten yeterli ayrıcalıklı erişimi olduğu anlamına geliyor. Bir geçici çözüm biliyor musunuz?
Alain Pannetier
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.