Re: Problem mit ssh keys

Autor: Raphael H. Becker <Raphael.Becker_at_gmx.de>
Datum: 01.06.2006
[[ sshkeys und permissions ]]

On Thu, Jun 01, 2006 at 07:25:22AM +0200, Alexander Dehoff wrote:
> das wars, das home hatte 750, habs auf 700 geändert und schon gehts.

Also 700 muss gar nicht sein, ich habe zB 751 auf ~, 
dafür aber 700 für ~/.ssh/

Von / ausgehend darf ausser root und Dir niemand Schreibrechte in
Verzeichnissen haben, d.h. zB /home/ muss root gehören und darf keine
Schreib-Bits für group und other haben, d.h. /home/ muss 755 sein (oder
halt das Verzeichnis, in dem der User sein Home liegen hat). Das
darunterliegende Verzeichnis muss ebenfalls Verschiebe- und
Umbenennungs-sicher sein, ein Angreifer könnte Dir sonst temporär ein
"falsches" Homeverzeichnis unterschieben.

Spaßig ist vermutlich "chmod 777 /." ;-)
Genauso spaßig ist allerdings auch "chmod 700 /."

Für Umgebungen, in denen das erforderlich ist, kann man das auch
abstellen:

SSHD_CONFIG(5)
[...]
StrictModes
        Specifies whether sshd should check file modes and ownership of
        the user's files and home directory before accepting login.  This
        is normally desirable because novices sometimes accidentally
        leave their directory or files world-writable.  The default is
        ``yes''.
[...]


> Wundert mich nur, daß das nicht angezeigt wird, wenn die Rechte von .ssh
> nicht stimmen, gibts ja auch ne Meldung zu.

Schau Dir mal LogLevel in sshd_config(5) an. Spiel damit mal rum,
vermutlich kannst Du da einiges rausfinden.

Es hat vermutlich einen guten Grund, wieso der CLIENT nicht gesagt
bekommt, wieso der Login per Key nicht akzeptiert wird.

MfG
-- 
Raphael Becker                                    http://rabe.uugrn.org/
                      http://schnitzelmitkartoffelsalat.und.rahmspin.at/
.........|.........|.........|.........|.........|.........|.........|..


Received on Thu Jun 1 23:01:00 2006

Dieses Archiv wurde generiert von hypermail 2.1.8.
Zurück zur UUGRN-Homepage.