Как настроить Ssh / Sshd для входа на основе ключа в Cygwin (Vista) с помощью StrictModes yes

5987
Brent.Longborough

Я успешно настроил ssh и sshd в cygwin, чтобы позволить себе войти в систему от A до B и от B до A (и A, и B являются машинами Vista).

Чтобы сделать это, я должен был установить его StrictModes noв / etc / sshd_config.

Если я установлю StrictModesзначение yes, вход на основе ключа будет обойден, и ssh (d) запросит пароль (который затем работает). В журнале событий я получаю это сообщение:

sshd: PID 3684: Authentication refused: bad ownership or modes for file /home/brent/.ssh/authorized_keys

У меня есть два подвопроса:

  1. Есть ли смысл использовать StrictModes yesпод Cygwin / Vista? (Я полагаю, что под настоящим Unix это обеспечит дополнительную безопасность.)
  2. Предполагая, да, точно, какой тип владения и режим я должен использовать? Текущий список для авторизованных ключей:

    -rwxrwxrwx 1 Administrators None 847 Sep 5 14:38 .ssh/authorized_keys

После небольшого дополнительного исследования:

Похоже, / дома / Брент /, /home/brent/.ssh/ и /home/brent/.ssh/authorized_keys все должны отвечать следующим критериям:

  • Не для групповой или мировой записи (минимум chmod 755)
  • Владелец: brent (в данном случае) - я не знаю, означает ли это «этот пользователь» или «любой пользователь с определенным статусом или привилегиями» или «пользователь, который установил cygwin» или «пользователь, который запустил sshd-host-config».

Так что это работает, но я все равно буду благодарен за точные комментарии о том, почему и правильно ли это .

3

1 ответ на вопрос

1
mattikus

По моему опыту на обычных системах Unix, ваш файл author_keys должен иметь восьмеричные разрешения 600, чтобы только пользователь, создавший его (и root), мог прочитать его, чтобы другие пользователи не увидели файл. Я предполагаю, что то же самое в Cygwin. Строгий режим просто говорит вам об изменении разрешений, как вы узнали.

Так что из предыдущего опыта я бы сказал, что вы были правы. Что касается владельца, то это должен быть человек, которому принадлежат файлы, что, вероятно, означает «этот пользователь» в вашем контексте.