Вопросы Теги

Веб-сайт, поврежденный после установки DSO

Это походит на хороший вариант использования для основанной на хосте аутентификации. Это - метод аутентификации, где SSH не использует пользователя индивидуума , включают локальную машину (в этом случае, Ваш сервер) для аутентификации; вместо этого, это использует хост закрытый ключ, тот, сохраненный в /etc/ssh/ и который только читаем root.

Для установки этого необходимо будет создать файл, названный .shosts на удаленной машине в корневом каталоге пользователя, Вы хотите, чтобы люди вошли в систему как (не в ~/.ssh). Файл должен иметь содержание 

server-hostname +

, где server-hostname название Вашего сервера, и + литеральный знак "плюс", который служит подстановочным знаком, означающим "любого пользователя".

необходимо будет также удостовериться, что удаленная машина может проверить ключ хоста сервера, что означает, что ключ хоста сервера должен быть перечислен или в /etc/ssh/ssh_known_hosts или в ~/.ssh/known_hosts на удаленной машине. Если это уже не имеет место, можно настроить его путем вхождения в удаленную машину и выполнения 

ssh-keyscan server-hostname >> /etc/ssh/ssh_known/hosts

, После того как Вы настроили эти шаги, можно удалить закрытый ключ на сервере полностью, если Вам не нужен он ни для чего больше. (И если Вы делаете, можно всегда устанавливать его, чтобы быть только читаемыми [1 110] или что-то.)

можно также легко сделать вещи как разрешение или отклонение определенного пользовательского доступа к удаленной машине. См. страницы справочника ssh и hosts.equiv для деталей.

Одна проблема с этой установкой состоит в том, что пользователи, которые входят в удаленную машину, могут изменить .shosts. Нет ничего, что они могут сделать, который позволил бы им входить в систему удаленной машины как другой пользователь, но они могли отключить свой собственный или доступ других к удаленной машине. Если это - беспокойство, Вы смогли делать .shosts только перезаписываемый [1 115] или что-то - я не уверен, работает ли это, но Вы могли бы попробовать его и видеть. (Другие методы как тот с [1 116] восприимчивы к тому же риску, так как пользователь мог всегда удалять ~/.ssh/authorized_keys.)

-1
задан 17 July 2013 в 13:20
1 ответ
  1. Проверьте права доступа к файлам. DSO работает как веб-сервер, а не как пользователь.
  2. Наймите администратора сервера.
0
ответ дан 5 December 2019 в 20:46

Теги

Похожие вопросы