私たちは、CentOS 6.9をOpenSSH_5.3p1で実行しており、同じホームディレクトリ(htdocsにマウント)を持つ外部ユーザー用にchrootされたアカウントを作成しました。問題は、ファイル.ssh/authorized_keys2
が最初のユーザーによって所有されていることです(これはすでに機能しています)。別のユーザーが使用できるようにするにはどうすればよいですか?
複数のファイルパスを使用してsshd_configにAuthorizedKeysFile
を追加しようとすると、エラーgarbage at end of line
が発生しました。
2番目のユーザーの一致ブロックのsshd_config
にAuthorizedKeysFile
を追加しようとすると、エラー'AuthorizedKeysFile' is not allowed within a Match block
が発生しました。
ホームディレクトリを変更できません。それ以外の場合、パスは開発用の実際のパスとは異なります。
それを解決する方法の提案はありますか? OpenSSHをAuthorizedKeysFile
の複数のエントリをサポートする新しいバージョンにアップグレードする必要がありますか(rpmでビルドする必要があると思います)?その後のセキュリティ更新についてはどうですか?
1つのオプションは、トークンを使用して各ユーザーに一意のauthorized_keys
ファイルを与えることです。
から man sshd_config :
AuthorizedKeysFile
ユーザー認証に使用できる公開鍵を含むファイルを指定します。形式は、
sshd(8)
のAUTHORIZED_KEYS FILE FORMATセクションで説明されています。AuthorizedKeysFile
には、接続のセットアップ時に置換される%T
形式のトークンが含まれる場合があります。次のトークンが定義されています。%%
はリテラル%
に置き換えられ、%h
は認証されるユーザーのホームディレクトリに置き換えられます。%u
はそのユーザーのユーザー名に置き換えられます。展開後、AuthorizedKeysFile
は絶対パスまたはユーザーのホームディレクトリからの相対パスと見なされます。空白で区切られた複数のファイルがリストされる場合があります。あるいは、このオプションをnone
に設定して、ファイル内のユーザーキーのチェックをスキップすることもできます。デフォルトは.ssh/authorized_keys .ssh/authorized_keys2
です。
強調鉱山。
だからあなたは設定することができます:
AuthorizedKeysFile .ssh/%u_authorized_keys
次に、ユーザーfoo
に対してauthorized_keys
ファイル.ssh/foo_authorized_keys
を作成します。
権限に関する注意
From man sshd :
~/.ssh/authorized_keys
...
このファイル、~/.ssh
ディレクトリ、またはユーザーのホームディレクトリが他のユーザーによって書き込み可能である場合、ファイルは不正なユーザーによって変更または置き換えられる可能性があります。この場合、StrictModes
オプションがno
に設定されていない限り、sshdはそれを使用することを許可しません。
したがって、キーを.ssh/
の外側に固定するか、StrictModes
をno
に設定する必要がある場合があります。 StrictModes
をno
に設定する場合は、他のユーザーが他のユーザーのauthorized_keys
を作成できないようにするか、他のユーザーの承認済みキーを削除できないようにしてください。おそらく次のようなことをするのが最善です:
AuthorizedKeysFile .ssh_%u/authorized_keys
ユーザーfoo
のディレクトリ.ssh_foo/
を作成します。このディレクトリはfoo
のみが読み取り/書き込みを実行できます。
以下を使用して、.ssh/authorized_keys
も許可するかどうかを選択できます
AuthorizedKeysFile .ssh/authorized_keys .ssh_%u/authorized_keys
これにより、authorized_keys
の「通常の」形式が引き続き機能し、authorized_keys
ファイルはユーザーが所有し、適切な権限がなければ無視されます。それでも、別のユーザーのauthorized_keys
ファイルを作成することは不可能であると考えてください。これは、ファイルをrootとして操作して空にすることを意味する場合があります。