OpenSSH: позвольте пользователям с записываемым ДОМОМ использовать общедоступную ключевую аутентификацию
На локальной рабочей станции у меня должна быть горстка пользователей, чтобы смочь свободно записать друг в друге $HOME.
Я ЗНАЮ, что это - нарушение защиты и в определенной ситуации, я не забочусь вообще.
У меня есть другой сервер (не локальный для LAN) используемый главным образом в качестве SCM repo. Вышеупомянутый пользовательский сервер доступа через ssh.
К сожалению, серверу OpenSSH не нравится перезаписываемый $HOMEs, и я не нашел способа обойти его (я ожидал иметь некоторый параметрический усилитель серверной стороны).
Кто-то может предложить обходное решение?
Мое предложение по обходному пути: Поместите файл authorized_keys где-нибудь вне домашнего каталога пользователя, используя директиву AuthorizedKeysFile в конфигурационном файле sshd.
Однако я немного озадачен - директива StrictModes должна делать именно то, что вы хотите. Разве это не работает как документировано?
StrictModes
Определяет, должен ли sshd проверять режимы файлов и право собственности на файлы пользователя и домашний каталог, прежде чем принять логин. Этот обычно желательно, потому что новички иногда случайно оставить свой каталог или файлы в мире, которые можно записать. По умолчанию "да".
Yes: groups.
Сделайте всех пользователей членами одной группы, и сделайте их каталоги $HOME какой-нибудь папкой "workspace", доступной для записи в группу.
В связи с ограничениями на разрешения, которые SSH разрешит для каталогов $HOME (как упоминается в комментариях ниже), единственный способ сделать это - создать папку, к которой они все могут получить доступ в другом месте, и, возможно, поместить ссылку на нее в каждую директорию $HOME. Это можно сделать автоматически, используя каталог /etc/skel.