Hvernig á að stilla réttar SSH skráarheimildir í Linux

Til að SSH virki vel þarf það réttar heimildir á ~/.ssh eða /home/username/.ssh möppunni: sjálfgefin staðsetning fyrir allar notendasértækar ssh stillingar og auðkenningarskrár. Leyfi sem mælt er með eru að lesa/skrifa/framkvæma fyrir notandann og mega ekki vera aðgengilegar fyrir hópa og aðra.

Að auki krefst ssh einnig að skrárnar í möppunni ættu að hafa les-/skrifheimildir fyrir notandann og ekki vera aðgengilegar öðrum. Annars gæti notandi rekist á eftirfarandi villu:

Authentication refused: bad ownership or modes for directory

Þessi handbók útskýrir hvernig á að stilla réttar heimildir á .ssh skránni og skrárnar sem eru geymdar í henni, á Linux kerfum.

Stilltu réttar SSH skráarheimildir í Linux

Ef þú lendir einhvern tíma í ofangreindri villu geturðu stillt réttar ssh skráarheimildir á .ssh skrána með chmod skipuninni.

# chmod u+rwx,go-rwx ~/.ssh
OR
# chmod  0700 ~/.ssh

Til að athuga heimildirnar á ~/.ssh möppunni, notaðu ls skipunina með -l og -d fánum, eins og svo:

# ls -ld .ssh/

Eftirfarandi eru nokkrar af skránum sem þú finnur í ~/.ssh möppunni:

  • einkalyklaskrá (t.d. id_rsa) – einkalykillinn fyrir auðkenningu, sem inniheldur mjög viðkvæmar upplýsingar, þess vegna verður hún að hafa les- og ritheimildir fyrir eigandann og ekki vera aðgengilegur fyrir hóp og aðra, annars neitar ssh að tengja.
  • opinber lykill (t.d. .pub skrá) – opinberi lykillinn fyrir auðkenningu, sem inniheldur einnig viðkvæmar upplýsingar og því ætti hann að hafa les- og skrifheimildir fyrir eigandann, skrifvarið leyfi hóps og annarra.
  • authorized_keys – inniheldur lista yfir opinbera lykla sem hægt er að nota til að skrá sig inn sem þessi notandi. Það er ekki mjög viðkvæmt en ætti að hafa les- og ritheimildir fyrir eigandann og ekki vera aðgengilegt fyrir hópa og aðra.
  • þekktir_gestgjafar – geymir lista yfir hýsillykla fyrir alla gestgjafa sem ssh notandinn hefur skráð sig inn á. Það ætti að hafa les- og ritheimildir fyrir eigandann og ekki vera aðgengilegt fyrir hópa og aðra.
  • config – stillingarskrá fyrir hvern notanda og ætti að hafa les- og skrifheimildir fyrir eigandann og ætti ekki að vera aðgengileg fyrir hóp og aðra.

Sjálfgefið er að skrárnar undir ~/.ssh möppunni eru búnar til með réttum heimildum. Til að athuga heimildir þeirra skaltu keyra eftirfarandi skipun í heimamöppunni þinni:

# ls -l .ssh/

Ef ssh kvartar yfir röngum heimildum á einhverjum af ofangreindum skrám geturðu stillt réttar heimildir fyrir hvaða skrá sem er eins og þetta:

# chmod u+rw,go-rwx .ssh/id_rsa
# chmod u+rw,go-rwx .ssh/id_rsa.pub
# chmod u+rw,go-rwx .ssh/authorized_keys
# chmod u+rw,go-rwx .ssh/known_hosts
# chmod u+rw,go-rwx .ssh/config
OR
# chmod 600 .ssh/id_rsa
# chmod 600 .ssh/id_rsa.pub
# chmod 600 .ssh/authorized_keys
# chmod 600 .ssh/known_hosts
# chmod 600 .ssh/config

Að auki ætti heimaskrá notanda ekki að vera hægt að skrifa af hópnum eða öðrum, eins og sýnt er á eftirfarandi skjámynd.

# ls -ld ~

Til að fjarlægja skrifheimildir fyrir hóp og aðra í heimaskránni skaltu keyra þessa skipun:

# chmod go-w ~
OR
# chmod 755 ~

Þú gætir líka viljað lesa eftirfarandi SSH-tengdar greinar:

  • Hvernig á að tryggja og herða OpenSSH Server
  • 5 bestu OpenSSH netþjónarnir bestu öryggisaðferðir
  • Hvernig á að setja upp SSH lykilorðslausa innskráningu í Linux [3 einföld skref]
  • Hvernig á að loka á SSH Brute Force árásir með því að nota SSHGUARD
  • Hvernig á að nota Port Knocking til að tryggja SSH þjónustu í Linux
  • Hvernig á að breyta SSH tengi í Linux

Það er það í bili! Notaðu athugasemdareitinn hér að neðan til að spyrja spurninga eða bæta hugsunum þínum við þetta efni.