Ho impostato l'accesso su sftp e la connessione è stata eseguita nella home directory dell'utente.
In quella directory c'è la cartella .ssh , contenente la loro chiave pubblica.
È un rischio che possano accedervi? C'è qualche buona pratica in merito a questo?
Il server gira su Ubuntu.
In primo luogo, non penso che tu intenda la chiave pubblica, perché la chiave pubblica è, come suggerisce il nome, pubblica. Ma la directory può contenere anche la chiave privata ( id_rsa per esempio). In ogni caso non dovrebbe avere importanza, dal momento che la chiave dovrebbe essere accessibile dal proprietario (utente).
Se temi che l'utente possa distribuire la sua chiave privata ad altri o pubblicarla, allora proibisci l'accesso SSH / SFTP del tutto.
Se solo l'utente può accedere alla chiave privata e nessun altro (esclusa la root), non vi è alcun motivo per cui dovresti cambiare la configurazione.
Questo è obbligatorio (nelle chiavi authorized_keys) per consentire al server di decrittografare i pacchetti crittografati con la chiave privata per l'autenticazione.
Inoltre la cartella .ssh e il file authorized_keys dovrebbero essere scrivibili solo dall'utente stesso, quindi nessun altro utente può aggiungere un'altra chiave per impersonare, se non lo sono, il server ssh scarterà il file e negherà l'accesso .
Citazione dalla manpage sshd manpage per FreeBsd (ma vero per la maggior parte delle installazioni di openssh):
~/.ssh/authorized_keys Lists the public keys (DSA, ECDSA, Ed25519, RSA) that can be used for logging in as this user. The format of this file is described above. The content of the file is not highly sensi- tive, but the recommended permissions are read/write for the user, and not accessible by others. If this file, the ~/.ssh directory, or the user's home directory are writable by other users, then the file could be modified or replaced by unauthorized users. In this case, sshd will not allow it to be used unless the StrictModes option has been set to ''no''.