So richten Sie Ssh / Sshd für die schlüsselbasierte Anmeldung unter Cygwin (Vista) mit StrictModes ein

6240
Brent.Longborough

Ich habe ssh und sshd erfolgreich unter cygwin eingerichtet, damit ich mich von A nach B und von B nach A einloggen kann (sowohl A als auch B sind Vista-Computer).

Dazu musste ich StrictModes noin meiner / etc / sshd_config einstellen.

Wenn ich auf eingestellt bin StrictModes, yeswird die schlüsselbasierte Anmeldung umgangen, und ssh (d) fordert zur Eingabe eines Kennworts auf (das dann funktioniert). Im Ereignisprotokoll erhalte ich folgende Nachricht:

sshd: PID 3684: Authentication refused: bad ownership or modes for file /home/brent/.ssh/authorized_keys

Ich habe zwei Unterfragen:

  1. Gibt es einen Sinn bei der Verwendung StrictModes yesunter Cygwin / Vista? (Ich kann mir vorstellen, dass dies unter einem echten Unix zusätzliche Sicherheit bietet.)

  2. Angenommen, ja, welche Eigentümerschaft und welcher Modus sollte ich verwenden? Die aktuelle Liste für die Authorized_keys lautet:

    -rwxrwxrwx 1 Administrators None 847 Sep 5 14:38 .ssh/authorized_keys

Nach etwas mehr Forschung:

Es sieht so aus, dass / home / brent /, /home/brent/.ssh/ und /home/brent/.ssh/authorized_keys alle die folgenden Kriterien erfüllen müssen:

  • Nicht gruppen- oder weltweit beschreibbar (Minimum chmod 755)
  • Besitzer: brent (in diesem Fall) - Ich weiß nicht, ob dies "dieser Benutzer" oder "ein Benutzer mit einem bestimmten Status oder bestimmten Berechtigungen" oder "der Benutzer, der cygwin installiert hat" oder "der Benutzer, der ausgeführt wurde sshd-host-config" bedeutet.

Es funktioniert also, aber ich würde mich trotzdem über genaue Kommentare freuen, warum und ob es richtig ist .

3

1 Antwort auf die Frage

1
mattikus

Nach meiner Erfahrung auf normalen Unix-Systemen muss Ihre authorized_keys-Datei über oktale Berechtigungen 600 verfügen, damit nur der Benutzer, der sie erstellt hat (und root), sie lesen kann, um zu verhindern, dass andere Benutzer die Datei sehen. Ich gehe davon aus, dass es in Cygwin genauso ist. Im strengen Modus werden Sie lediglich aufgefordert, die Berechtigungen zu ändern, wie Sie es herausgefunden haben.

Aus früheren Erfahrungen würde ich sagen, dass Sie richtig waren. Als Besitzer sollte es die Person sein, die die Dateien besitzt, und bedeutet wahrscheinlich "dieser Benutzer" in Ihrem Kontext.

Verwandte Probleme