Pertanyaan Cara mengatur Ssh / Sshd untuk login berbasis kunci di bawah Cygwin (Vista) dengan StrictModes ya


Saya telah berhasil mengatur ssh dan sshd di bawah cygwin untuk memungkinkan saya login dari A ke B dan B ke A (baik A dan B adalah mesin Vista).

Untuk melakukan ini, saya harus mengaturnya StrictModes no di / etc / sshd_config saya.

Jika saya mengatur StrictModes untuk yes, login berbasis kunci dilewati, dan ssh (d) meminta kata sandi (yang kemudian berfungsi). Di log acara, saya mendapatkan pesan ini:

sshd: PID 3684: Authentication refused: bad ownership or modes for file /home/brent/.ssh/authorized_keys

Saya memiliki dua sub-pertanyaan:

  1. Apakah ada gunanya menggunakan StrictModes yes di bawah cygwin / Vista? (Saya membayangkan bahwa di bawah Unix yang sebenarnya ini akan memberikan keamanan tambahan.)
  2. Dengan asumsi ya, tepatnya apa kepemilikan dan mode yang harus saya gunakan? Daftar saat ini untuk kata kunci authorized_keys adalah:

    -rwxrwxrwx 1 Administrators None 847 Sep 5 14:38 .ssh/authorized_keys

Setelah sedikit lebih banyak penelitian:

Sepertinya / home / brent /, /home/brent/.ssh/, dan /home/brent/.ssh/authorized_keys semua harus memenuhi kriteria berikut:

  • Bukan grup- atau yang dapat ditulis dunia (minimum chmod 755)
  • Pemilik: brent (dalam hal ini) - Saya tidak tahu apakah ini berarti "pengguna ini" atau "setiap pengguna dengan status atau hak istimewa tertentu" atau "pengguna yang menginstal cygwin" atau "pengguna yang menjalankan sshd-host-config".

Sehingga bekerja, tapi saya masih menghargai komentar yang tepat tentang mengapa, dan apakah itu benar.


3
2017-09-05 15:32


asal




Jawaban:


Dalam pengalaman saya pada sistem unix normal, file authorized_keys Anda harus berupa izin oktal 600 sehingga hanya pengguna yang membuatnya (dan root) yang dapat membacanya untuk mencegah pengguna lain melihat file tersebut. Saya berasumsi itu sama di cygwin. Mode ketat hanya memberi tahu Anda untuk mengubah izin saat Anda mengetahuinya.

Jadi dari pengalaman sebelumnya, saya akan mengatakan Anda benar. Untuk pemilik, itu harus orang yang memiliki file, mungkin berarti 'pengguna ini' dalam konteks Anda.


1
2017-10-01 20:18