Linux

允許 Chrooted 使用者進行 Pubkey 或密碼驗證

  • November 3, 2015

我管理一個遺留系統,許多客戶端連接到該系統以使用大型科學數據文件。目前,這些使用者通過 SFTP 進行連接,並且由於經驗水平和案例的巨大差異,密碼身份驗證一直是與他們一起工作的最簡單方法。他們中的許多人只是從 Windows 連接並使用 FileZilla 之類的產品的銷售人員,這將造成巨大的支持負擔。

一個新客戶堅持(有理由)使用 SSH 公鑰身份驗證。在不破壞其他 100 多個客戶正在使用的身份驗證策略的情況下,向我的新客戶提供此選項的最佳方式是什麼?

我目前的 sshd_config 如下所示:

Match group sftpusers
       ChrootDirectory /sftp/%u
       X11Forwarding no
       AllowTcpForwarding no
       ForceCommand internal-sftp -l VERBOSE -f LOCAL6

顯然,我必須在文件的更遠處添加一個先前的“PasswordAuthentication yes”行。

伺服器配置為僅允許使用者登錄 SFTP,所有最終使用者都是此“sftpusers”組的成員。

跟進愚蠢的問題:我什至會在哪里為沒有主文件夾的使用者放置 SSH 密鑰?

我什至會在哪里為沒有主文件夾的使用者放置 SSH 密鑰?

有 option AuthorizedKeysFile,它定義了儲存授權密鑰的位置。它預設為主目錄,但並非必須如此。這種配置也很常見:

AuthorizedKeysFile    /etc/ssh/%u/authorized_keys

引用自:https://serverfault.com/questions/733428