L'utente SFTP ha accesso alla sua chiave pubblica, è un problema?

-1

Ho impostato l'accesso su sftp e la connessione è stata eseguita nella home directory dell'utente.

In quella directory c'è la cartella .ssh , contenente la loro chiave pubblica. È un rischio che possano accedervi? C'è qualche buona pratica in merito a questo?

Il server gira su Ubuntu.

    
posta ptf 26.08.2016 - 14:49
fonte

2 risposte

1

In primo luogo, non penso che tu intenda la chiave pubblica, perché la chiave pubblica è, come suggerisce il nome, pubblica. Ma la directory può contenere anche la chiave privata ( id_rsa per esempio). In ogni caso non dovrebbe avere importanza, dal momento che la chiave dovrebbe essere accessibile dal proprietario (utente).

Se temi che l'utente possa distribuire la sua chiave privata ad altri o pubblicarla, allora proibisci l'accesso SSH / SFTP del tutto.

Se solo l'utente può accedere alla chiave privata e nessun altro (esclusa la root), non vi è alcun motivo per cui dovresti cambiare la configurazione.

    
risposta data 26.08.2016 - 15:03
fonte
1

Questo è obbligatorio (nelle chiavi authorized_keys) per consentire al server di decrittografare i pacchetti crittografati con la chiave privata per l'autenticazione.

Inoltre la cartella .ssh e il file authorized_keys dovrebbero essere scrivibili solo dall'utente stesso, quindi nessun altro utente può aggiungere un'altra chiave per impersonare, se non lo sono, il server ssh scarterà il file e negherà l'accesso .

Citazione dalla manpage sshd manpage per FreeBsd (ma vero per la maggior parte delle installazioni di openssh):

 ~/.ssh/authorized_keys
   Lists the public keys (DSA, ECDSA, Ed25519, RSA) that can be used
   for logging in as this user.  The format of this file is
   described above.  The content of the file is not highly sensi-
   tive, but the recommended permissions are read/write for the
   user, and not accessible by others.

   If this file, the ~/.ssh directory, or the user's home directory
   are writable by other users, then the file could be modified or
   replaced by unauthorized users.  In this case, sshd will not
   allow it to be used unless the StrictModes option has been set to
   ''no''.
    
risposta data 26.08.2016 - 15:43
fonte

Leggi altre domande sui tag