Wie schützt man die authorized_keys-Datei?

5

Ich habe eine schlüsselbasierte SSH-Anmeldung (und keine Root-Anmeldung) bei meinem Ubuntu-Server eingerichtet

ls -l /home/ernest/.ssh zeigt dies:

-rw------- 1 ernest ernest 405 Dec 14 09:17 authorized_keys

Bedeutet dies, dass ein beliebiger Prozess unter läuft ernest (mein Administrator Login) kann sich ändern authorized_keys und infolgedessen verliere ich Zugang zu meinem Bediener?

Wenn ja, gibt es Praktiken zum Schutz authorized_keys?

ofstudio
quelle
1
Sie versuchen also, diese Datei vor ... sich selbst zu schützen?
Mat
1
@Mat Na ja, technisch gesehen. Die Idee dabei ist, dass ein Schurke oder ein böswilliger Angreifer, der vom Benutzer gestartet wurde, sie aussperren könnte.
slhck

Antworten:

8

Es ist ziemlich üblich, den Schreibzugriff auf diese Datei einfach zu entfernen, wenn Sie nicht vorhaben, sie häufig zu ändern.

Das ist auch vorgeschlagen vom Arch Linux Wiki :

chmod 400 ~/.ssh/authorized_keys

Jetzt kann dieser Schreibzugriff natürlich durch ein böswilliges Skript wieder hinzugefügt werden. Sie müssen also festlegen, dass die Datei und das übergeordnete Verzeichnis unveränderlich sind:

sudo chattr +i ~/.ssh/authorized_keys
sudo chattr +i ~/.ssh
slhck
quelle