Авторизация по SSH с использованием ключей в условиях шифрования домашней директории

    Хрестоматийный вариант настройки авторизации по SSH с использованием ключей знают все: открытый ключ записывается в ~/.ssh/authorized_keys. В случае, если применяется шифрование домашней папки, то система не сможет прочесть данный файл. Следовательно, необходимо разместить эти данные за пределами зашифрованной домашней папки.

    Предлагаю размещать файл authorized_keys в каталоге /etc/{username}/.ssh. В таком случае в /etc/ssh/sshd_config следует добавить соответствующую строку:
    AuthorizedKeysFile /etc/%u/.ssh/authorized_keys
    Не будет лишним также расставить параноидальные права:
    # chown -R {username}:{username} /etc/{username}
    # chmod 1700 /etc/{username}
    # chmod 0100 /etc/{username}/.ssh
    # chmod 0600 /etc/{username}/.ssh/authorized_keys

    Последняя же рекомендация варьируется в зависимости от принятых методик управления системами.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 20
    • +9
      AuthorizedKeysFile /etc/ssh/authorized_keys/%u
      ИМХО так удобнее. А в целом да, вариант хороший.
      • +2
        Могу ошибаться, но если права не «параноидальные», то и работать не будет.
        И спасибо, давно хотел настроить авторизацию, напомнили.
        • 0
          Зависит от настроек SSH, но по-умолчанию действительно не будет.
          • 0
            О как интересно. Подскажите, пожалуйста, какие настройки SSH надо крутить (и на какой стороне) или киньте ссылкой. Хочу поэксперементировать и сделать «беспарольный» вход и с винды(cygwin-a) так же. А то там ничего не выходит — как раз из-за того, что права правильные не настроить.
            • +1
              ?! Гугель? Yandex? Есть масса мануалов, где по-шагам расписано что и как делать, для «беспарольного входа». Кстати, что это значит? Есть вход по ключу, когда ключ передаётся автоматом. Есть авторизация по IP, которая суть-зло и везде отключена.
              А крутить нужно /etc/ssh/sshd_config
              • 0
                Чтобы что-то найти надо знать, что искать ;)
                Теперь, благодоря вашей наводке я знаю что и скать (уже нашёл). За что вам спасибо.

                Под «беспарольным» входом я, в данном случае, говорил про вход по rsa ключу, пардон, если непонятно выразился. Как это все дело настроить я тоже знаю и давно пользуюсь. А вот на виндовой машине возникло в свое время препятствие в виде невозможности правильно выставить права под cygwin-ом. Проще было тогда забить и один раз на сессию вводить пароль. Вот собственно и всё, теперь, обладая новым знаниям, можно попробовать победить старую проблему.
                • 0
                  Для входа НА виндовую машину по SSH? Отключить проверку прав на папку и файлы ключей через настройки SSH.
                  • 0
                    Права проверяются на машине к которой подключаются. Там есть опция (включена по умолчанию), которая запрещает вход если доступ к папке ключей или файлам ключей имеет кто-то, кроме рута (проверяет владелец папки и права доступа).
          • +1
            М… А почему в /etc? Ведь все такие конфиги (например, cron для пользователей) хранятся в /var. И работать с ним нужно так же — ssh_external_keys_add — с битом sudo и конфигом, в котором можно определить, кто из пользователей может пользоваться сервисом.
            • +19
              ru.wikipedia.org/wiki/Протокол_AAA
              Я буду постить эту ссылку до тех пор, пока на техническом ресурсе будут люди, не отличающие аутентификацию от авторизации. Извините.
              • +7
                В man'е по ssh осталось ещё около 70 ключей ;)
                • –3
                  > параноидальные

                  паранояльные
                  • 0
                    Так уже давно делается на всех нормальных хостингах
                    • 0
                      Зашифрованный домашний папка… Ди-ре-кто-ри-я!
                      простите, хочется взять, и не читать
                      • +2
                        Тогда уж «директорий», ибо «каталог»…
                        А одна и та же сущность не может быть как мальчиком, так и девочкой, если эта сущность нормальной ориентации ;)

                        А по сути таки да…
                        «Каталог/директорий» — объект файловой системы, а «папка» — объект графического интерфейса, пиктограмма, подразумевающая за собой объект файловой системы.
                        • 0
                          папка (folder) — это там где лежат файлы
                          директория (directory) — имеет больше отношения к samba/LDAP

                          не разрушайте внутренний мир убунтоводов
                          • +5
                            Когда-то, давно, когда жесткие диски были большими, а объем ОЗУ — мальеньким, про «папка (folder)» ни кто ни чего не слышал.
                            Графических интерфейсов (WIMP) тогда еще ни кто на PC не видел, ибо был DOS и коммандер имени Нортона.
                            Но директории и каталоги уже были.

                            А потом появилась Windows 3.1, где пиктограммки напоминали картонные фигнюшки, которые и «там» назывались catalogue…
                            А потом маркетологи назвали их «folder»…
                            А у нас перевели как «папка»…

                            Кстати, тумбочка, в которой хранятся такие «папки», то же называют иногда «каталогами»… ;)

                            Теперь оно, естественно, прижилось уже…
                            Но живы еще динозавры, которые помнят, откуда ноги растут и как говорить (и понимать!) правильно.

                            А про samba/LDAP вообще речи нет…
                            Потому как термин «каталог» относится к хранилищу некоторой структурированной информации, а не к объекту, хранящему некоторые данные на некотором физическом носителе (лента, диск, флешка, etc...)
                            • 0
                              блин.., я не знаю как irony красненьким выделять =(
                              • +1
                                — Половина не бывает «большая» или «меньшая»…
                                К сожалению, большая половина пользователей ПК этого не понимает"…

                                ;)

                                P.S.
                                Не думаю, что внутренний мир «убунтоводов» сильно пострадает от занудствований старого *nix-оида…
                                Может чему и научатся ;)
                      • 0
                        Спасибо всем за комментарии! :-)

                        Лично я воспринимаю Хабр как дружественную площадку для обмена знаниям и опытом, поэтому буду очень рад, если кто-то, наткнувшись на заметку, поймет, почему все настроено правильно, но не работает по непонятным причинам.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.