Linux ssh:允许公钥验证,而不赋予用户对私钥的读取权限
在我的
Linux服务器上登录的用户应该能够使用默认帐户ssh到特定的远程计算机.
远程计算机上的身份验证使用公钥,因此在服务器上可以使用相应的私钥. 我不希望服务器用户实际上能够读取私钥.基本上,他们可以访问服务器的事实允许他们正确的ssh,并且从服务器中删除它们也应该禁止连接到远程机器. 如何允许用户打开ssh连接而不授予他们对私钥的读取权限? 到目前为止我的想法:显然ssh可执行文件必须能够读取私钥,因此它必须在具有这些权限的服务器上的另一个用户下运行.一旦建立了ssh连接,我就可以将它“转发”给用户,这样他就可以输入命令并与远程机器交互. >这是一个好方法吗? 解决方法
这是sudo存在的原因之一.只需允许您的用户运行1个单一命令,只使用预先授权的命令行选项,并解决最明显的规避.例如
#/etc/sudoers %users ALL = (some_uid) NOPASSWD: /usr/bin/ssh -i /home/some_uid/.ssh/remote-host.key username@remotehost 设置sudo,以便组用户的所有成员都可以以用户some_uid的身份运行ssh命令,而无需在运行时输入自己的密码(或some_uid帐户的密码): sudo -u some_uid /usr/bin/ssh -i /home/some_uid/.ssh/remote-host.key username@remotehost 删除NOPASSWD:选项以强制用户在登录远程主机之前输入自己的密码.可能会设置别名或包装脚本以方便用户,因为sudo对使用正确的参数非常挑剔. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |