SSHおよびホームディレクトリのアクセス許可

私の学校のサーバー上のクラスアカウントの1つでこのSSH問題を解決するのに何時間もかかりました。

パスワードを入力しないと特定のクラスアカウントにsshできませんでしたが、パスワードなしの認証は他のクラスアカウントで機能しました。.ssh /ディレクトリとそのすべてのコンテンツには、他のクラスアカウントと同じ正しい権限がありました。

問題は、自分のホームディレクトリに設定されているアクセス許可であることが判明しました。ホームディレクトリの権限が770に設定されている場合（.ssh /に設定されている権限に関係なく）、パスワードなしの認証は機能しませんでしたが、755または700に設定された権限では機能しました。

誰もSSHがこれを行う理由を知っていますか？ホームディレクトリのアクセス許可が許容範囲を超えているためですか？ホームディレクトリが700よりも寛容に設定されている場合、SSHが公開/秘密キーによる認証を拒否するのはなぜですか？

これはSSHのデフォルトの動作です。これは、所有者のみに書き込み権限を強制rwx------し$HOME/.ssh、保証することでユーザーキーを保護します$HOME。それぞれの所有者以外のユーザーが$HOMEディレクトリへの書き込み権限を持っている場合$HOME/.ssh、ユーザーキーのアクセス権を不正に変更したり、ユーザーキーを潜在的にハイジャックしたりする可能性がありますknown_hosts。要約$HOMEすると、SSHを機能させるには、次の権限で十分です。

• rwx------
• rwxr-x---
• rwxr-xr-x

SSHは正しく機能せず、ディレクトリにバリエーションがあるg+wかo+w存在する場合、ログ機能に警告を送信します$HOME。ただし、管理者StrictModes noはsshd_config（または同様の）構成ファイルで定義することでこの動作をオーバーライドできますが、これは推奨されないことは明らかです。

ホームディレクトリの77xは、正しいGIDを持つすべてのユーザーが.sshディレクトリを移動して別のディレクトリに置き換えることができることを意味します。正しいGIDを持つユーザーは、ホームディレクトリに対する書き込み/実行権限を持っているため、ファイル/ディレクトリの名前を変更/作成できます。

SSHは、アクセス権に関して非常に注意が必要です。