Linux
授權密鑰的中心位置是個好主意嗎?
我正在配置雲伺服器以執行以下堆棧:Ruby、Passenger、Apache;在 Ubuntu 10.04 (Lucid Lynx) 下。
在想讓伺服器更易於管理的過程中,我在 上設置了 RSA 密鑰
root
,www-data
以便我可以ssh
進入伺服器。我不喜歡的是那個www-data
目錄.ssh
,/var/www
它是 apache 的預設目錄設置。我擔心的是,如果 apache 配置不正確,那麼該.ssh
目錄可能會被公開。我遇到了
~/.ssh/authorized_keys
通過更改將文件移動到中心位置AuthorizedKeysFile
的解決方案/etc/ssh/sshd_config
。這有 2 個優點:密鑰的單一位置,並且不必擔心糟糕的 apache 配置。我能想到的唯一問題是現在每個使用者都可以在伺服器上登錄(顯然是中央密鑰文件的雙刃劍。)我在這個配置中有什麼遺漏的嗎?我是否過度暴露自己,或者這是比單個
authorized_keys
文件更好的解決方案?在伺服器管理方面我是綠色的,但我完全準備好因做壞事而被稱為壞名聲。:D
所有的密鑰文件可以集中在同一個目錄中,而不是混合在同一個文件中。
只需像這樣設置
sshd_config
文件:AuthorizedKeysFile /etc/ssh/authorized_keys/%u
在您的伺服器上:
- www-data 鍵將在
/etc/ssh/authorized_keys/www-data
- 根鍵將在
/etc/ssh/authorized_keys/root
關於訪問權限,sshd 接受這些設置:
/etc/ssh/authorized_keys
屬於root:root
並具有模式 755。密鑰文件屬於root:root
並具有模式 644。其他模式可能有效,但我沒有測試過它們。