Jak skonfigurować Ssh / Sshd do logowania opartego na kluczach w Cygwin (Vista) z StrictModes tak


3

Z powodzeniem skonfigurowałem ssh i sshd w cygwin, aby umożliwić sobie logowanie od A do B i od B do A (zarówno A, jak i B są maszynami Vista).

Aby to zrobić, musiałem ustawić StrictModes no w moim / etc / sshd_config.

Jeśli ustawię StrictModes do yes, logowanie na podstawie klucza jest pomijane, a ssh (d) pyta o hasło (które następnie działa). W dzienniku zdarzeń otrzymuję następujący komunikat:

sshd: PID 3684: Authentication refused: bad ownership or modes for file /home/brent/.ssh/authorized_keys

Mam dwa pytania podrzędne:

  1. Czy jest jakiś sens w używaniu StrictModes yes pod cygwin / Vista? (Wyobrażam sobie, że pod prawdziwym Uniksem zapewni to dodatkowe bezpieczeństwo.)
  2. Zakładając, że tak, dokładnie jakiego rodzaju własności i trybu powinienem używać? Aktualna lista dla autoryzowanych kluczy:

    -rwxrwxrwx 1 Administrators None 847 Sep 5 14:38 .ssh/authorized_keys

Po trochę więcej badań:

Wygląda jak / home / brent /, /home/brent/.ssh/ i /home/brent/.ssh/authorized_keys wszystko muszą spełniać następujące kryteria:

  • Nie można zapisywać w grupach ani na świecie (minimum chmod 755)
  • Właściciel: brent (w tym przypadku) - nie wiem, czy oznacza to „tego użytkownika” czy „dowolnego użytkownika o określonym statusie lub uprawnieniach” lub „użytkownika, który zainstalował cygwin” lub „użytkownika, który uruchomił sshd-host-config

Więc to Prace , ale nadal doceniam precyzyjne komentarze na temat przyczyn i tego, czy to jest poprawny .

Odpowiedzi:


1

W moim doświadczeniu w normalnych systemach uniksowych, plik authorized_keys musi mieć uprawnienia ósemkowe 600, aby tylko użytkownik, który go utworzył (i root) mógł go odczytać, aby uniemożliwić innym użytkownikom oglądanie pliku. Zakładam, że jest taki sam w cygwin. Tryb ścisły mówi ci tylko o zmianie uprawnień, tak jak się dowiedziałeś.

Tak więc z poprzednich doświadczeń powiedziałbym, że masz rację. Jeśli chodzi o właściciela, powinna to być osoba, która jest właścicielem plików, prawdopodobnie oznaczająca „tego użytkownika” w twoim kontekście.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.