Re: Problem mit ssh keys

["Raphael H. Becker" <Raphael.Becker@xxxxxx>]

[[ sshkeys und permissions ]]

On Thu, Jun 01, 2006 at 07:25:22AM +0200, Alexander Dehoff wrote:
> das wars, das home hatte 750, habs auf 700 geaendert und schon gehts.

Also 700 muss gar nicht sein, ich habe zB 751 auf ~, 
dafuer aber 700 fuer ~/.ssh/

Von / ausgehend darf ausser root und Dir niemand Schreibrechte in
Verzeichnissen haben, d.h. zB /home/ muss root gehoeren und darf keine
Schreib-Bits fuer group und other haben, d.h. /home/ muss 755 sein (oder
halt das Verzeichnis, in dem der User sein Home liegen hat). Das
darunterliegende Verzeichnis muss ebenfalls Verschiebe- und
Umbenennungs-sicher sein, ein Angreifer koennte Dir sonst temporaer ein
"falsches" Homeverzeichnis unterschieben.

Spassig ist vermutlich "chmod 777 /." ;-)
Genauso spassig ist allerdings auch "chmod 700 /."

Fuer Umgebungen, in denen das erforderlich ist, kann man das auch
abstellen:

SSHD_CONFIG(5)
[...]
StrictModes
        Specifies whether sshd should check file modes and ownership of
        the user's files and home directory before accepting login.  This
        is normally desirable because novices sometimes accidentally
        leave their directory or files world-writable.  The default is
        ``yes''.
[...]


> Wundert mich nur, dass das nicht angezeigt wird, wenn die Rechte von .ssh
> nicht stimmen, gibts ja auch ne Meldung zu.

Schau Dir mal LogLevel in sshd_config(5) an. Spiel damit mal rum,
vermutlich kannst Du da einiges rausfinden.

Es hat vermutlich einen guten Grund, wieso der CLIENT nicht gesagt
bekommt, wieso der Login per Key nicht akzeptiert wird.

MfG
-- 
Raphael Becker                                    http://rabe.uugrn.org/
                      http://schnitzelmitkartoffelsalat.und.rahmspin.at/
.........|.........|.........|.........|.........|.........|.........|..