Linux
允許 Chrooted 使用者進行 Pubkey 或密碼驗證
我管理一個遺留系統,許多客戶端連接到該系統以使用大型科學數據文件。目前,這些使用者通過 SFTP 進行連接,並且由於經驗水平和案例的巨大差異,密碼身份驗證一直是與他們一起工作的最簡單方法。他們中的許多人只是從 Windows 連接並使用 FileZilla 之類的產品的銷售人員,這將造成巨大的支持負擔。
一個新客戶堅持(有理由)使用 SSH 公鑰身份驗證。在不破壞其他 100 多個客戶正在使用的身份驗證策略的情況下,向我的新客戶提供此選項的最佳方式是什麼?
我目前的 sshd_config 如下所示:
Match group sftpusers ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp -l VERBOSE -f LOCAL6
顯然,我必須在文件的更遠處添加一個先前的“PasswordAuthentication yes”行。
伺服器配置為僅允許使用者登錄 SFTP,所有最終使用者都是此“sftpusers”組的成員。
跟進愚蠢的問題:我什至會在哪里為沒有主文件夾的使用者放置 SSH 密鑰?
我什至會在哪里為沒有主文件夾的使用者放置 SSH 密鑰?
有 option
AuthorizedKeysFile
,它定義了儲存授權密鑰的位置。它預設為主目錄,但並非必須如此。這種配置也很常見:AuthorizedKeysFile /etc/ssh/%u/authorized_keys