Linux

授權密鑰的中心位置是個好主意嗎?

  • July 18, 2018

我正在配置雲伺服器以執行以下堆棧:Ruby、Passenger、Apache;在 Ubuntu 10.04 (Lucid Lynx) 下。

在想讓伺服器更易於管理的過程中,我在 上設置了 RSA 密鑰rootwww-data以便我可以ssh進入伺服器。我不喜歡的是那個www-data目錄.ssh/var/www它是 apache 的預設目錄設置。我擔心的是,如果 apache 配置不正確,那麼該.ssh目錄可能會被公開。

我遇到了~/.ssh/authorized_keys通過更改將文件移動到中心位置AuthorizedKeysFile的解決方案/etc/ssh/sshd_config。這有 2 個優點:密鑰的單一位置,並且不必擔心糟糕的 apache 配置。我能想到的唯一問題是現在每個使用者都可以在伺服器上登錄(顯然是中央密鑰文件的雙刃劍。)

我在這個配置中有什麼遺漏的嗎?我是否過度暴露自己,或者這是比單個authorized_keys文件更好的解決方案?

在伺服器管理方面我是綠色的,但我完全準備好因做壞事而被稱為壞名聲。:D

所有的密鑰文件可以集中在同一個目錄中,而不是混合在同一個文件中。

只需像這樣設置sshd_config文件:

AuthorizedKeysFile  /etc/ssh/authorized_keys/%u

在您的伺服器上:

  • www-data 鍵將在/etc/ssh/authorized_keys/www-data
  • 根鍵將在/etc/ssh/authorized_keys/root

關於訪問權限,sshd 接受這些設置:

/etc/ssh/authorized_keys屬於root:root並具有模式 755。密鑰文件屬於root:root並具有模式 644。

其他模式可能有效,但我沒有測試過它們。

引用自:https://serverfault.com/questions/313465