653 votes

Utilisateur non enregistré avatar

Permissions sur la clé privée dans le dossier .ssh ?

Demandé el 26 de Novembre, 2010
Quand la question a-t-elle été
648760 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai changé mes permissions dans mon .ssh et maintenant, lorsque j'utilise un logiciel qui utilise ma clé privée, je dois taper mon mot de passe à chaque fois. Quelles devraient être mes autorisations sur mon id_rsa fichier pour ne pas avoir à taper un mot de passe à chaque fois que j'utilise une application qui l'utilise ?

Actuellement, mes permissions sont définies comme suit :

-rw-------@ 1 Jody  staff   114 Nov  4 23:29 config
-rw-------  1 Jody  staff  1743 Oct 21  2009 id_rsa
-rw-------@ 1 Jody  staff   397 Oct 21  2009 id_rsa.pub 
-rw-------@ 1 Jody  staff  3855 Sep 13 22:35 known_hosts
Demandé el 26 de Novembre, 2010 par Utilisateur non enregistré

15 votes

Avatar de Akhil

#!/bin/bash find .ssh/ -type f -exec chmod 600 {} \;; find .ssh/ -type d -exec chmod 700 {} \;; find .ssh/ -type f -name "*.pub" -exec chmod 644 {} \;

Commenté el 4 de Avril, 2020 par Akhil

0 votes

Avatar de ThaJay

Merci @AkhilJalagam, votre code vient de m'éviter de réfléchir. J'adore ce genre de choses. Je sais comment le faire, mais pourquoi le faire si c'est déjà là :D

Commenté el 20 de Mai, 2021 par ThaJay

Réponses

Trop de publicités?

1065voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Typiquement, vous voulez que les permissions soient :

  • .ssh répertoire : 700 (drwx------)
  • clé publique ( .pub ) : 644 (-rw-r--r--)
  • clé privée ( id_rsa ): 600 (-rw-------)
  • Enfin, votre répertoire personnel ne doit pas être accessible en écriture par le groupe ou par d'autres personnes (au plus 755 (drwxr-xr-x) ).

Je suppose que vous voulez dire que vous devez entrer votre mot de passe système/utilisateur à chaque fois, et qu'auparavant vous n'aviez pas à le faire. La réponse de cdhowie suppose que vous avez défini un mot de passe/passphrase lors de la génération de vos clés, et si vous l'avez fait, alors comme il le dit, vous devrez entrer votre mot de passe à chaque fois, à moins que vous n'utilisiez un agent ssh.

Répondu el 26 de Novembre, 2010 par Utilisateur non enregistré (0 Points )

28 votes

Avatar de Marc Gravell

J'ai trouvé ailleurs que si l'on utilise le fichier authorized_keys, il doit être chmodé à 640, c'est-à-dire -rw-r----- .

Commenté el 11 de Septembre, 2014 par Marc Gravell

12 votes

Avatar de Sonique

Où puis-je trouver ces informations dans les pages de manuel ?

Commenté el 17 de Novembre, 2014 par Sonique

219 votes

Avatar de Mike

Je suis revenu sur ce post environ 30 fois maintenant. Je ne peux pas croire que je ne m'en souvienne pas.

Commenté el 2 de Avril, 2015 par Mike
Afficher 17 autres commentaires

156voto

Alex W avatar
Alex W Points 1616

J'ai lutté avec cela pendant une éternité et j'ai finalement trouvé ce qui est nécessaire. Remplacer $USER partout avec le nom d'utilisateur SSH auquel vous voulez vous connecter sur le serveur. Si vous essayez de vous connecter en tant que root vous devez utiliser /root/.ssh etc., au lieu de /home/root/.ssh ce qui est le cas pour les utilisateurs non-roots.

  • Le répertoire personnel sur le serveur ne doit pas être accessible en écriture par d'autres personnes : chmod go-w /home/$USER
  • Le dossier SSH sur le serveur a besoin des permissions 700 : chmod 700 /home/$USER/.ssh
  • Le fichier Authorized_keys a besoin de 644 permissions : chmod 644 /home/$USER/.ssh/authorized_keys
  • Assurez-vous que user possède les fichiers/dossiers et non root : chown user:user authorized_keys y chown user:user /home/$USER/.ssh
  • Mettez la clé publique générée (de ssh-keygen ) dans le dossier de l'utilisateur authorized_keys sur le serveur
  • Assurez-vous que le répertoire d'origine de l'utilisateur est défini comme vous le souhaitez et qu'il contient le bon code d'accès. .ssh que vous avez modifié. Si ce n'est pas le cas, utilisez usermod -d /home/$USER $USER pour régler le problème
  • Enfin, redémarrez ssh : service ssh restart
  • Assurez-vous ensuite que le client dispose des fichiers de la clé publique et de la clé privée dans le répertoire de l'utilisateur local. .ssh et se connecter : ssh user@host.com
Répondu el 9 de Juin, 2015 par Alex W (1616 Points )

0 votes

Avatar de Michael Millar

En ce qui concerne le premier paragraphe, je suis en mesure d'utiliser des clés publiques/privées avec un utilisateur sur mon ordinateur local (par exemple, un utilisateur qui a un accès à l'Internet). abc ), différent de celui de l'utilisateur du serveur distant (par ex. def@123.456.789 ). Je devais juste m'assurer que l'utilisateur local possédait les fichiers .ssh locaux (par ex. abc:abc pas root:abc )`

Commenté el 22 de Décembre, 2015 par Michael Millar

1 votes

Avatar de area51pilot

Merci de mettre toutes les étapes et les commandes pour les débutants, Alex. Votre réponse est l'une des plus utiles ici.

Commenté el 4 de Mars, 2016 par area51pilot

9 votes

Avatar de Tom Pester

+1. "Le fichier Authorized_keys a besoin de 644 permissions" <= c'était crucial !

Commenté el 4 de Juin, 2017 par Tom Pester
Afficher 3 autres commentaires

81voto

Ashutosh Jindal avatar
Ashutosh Jindal Points 661

Je poste ceci comme une réponse séparée car je voulais voir les recommandations de la page de manuel traduites en permissions.

Résumé basé sur les citations de la page de manuel (lien à la fin) :

+------------------------+-------------------------------------+-------------+-------------+
| Directory or File      | Man Page                            | Recommended | Mandatory   |
|                        |                                     | Permissions | Permissions |
+------------------------+-------------------------------------+-------------+-------------+
| ~/.ssh/                | There is no general requirement to  | 700         |             |
|                        | keep the entire contents of this    |             |             |
|                        | directory secret, but the           |             |             |
|                        | recommended permissions are         |             |             |
|                        | read/write/execute for the user,    |             |             |
|                        | and not accessible by others.       |             |             |
+------------------------+-------------------------------------+-------------+-------------+
| ~/.ssh/authorized_keys | This file is not highly sensitive,  | 600         |             |
|                        | but the recommended permissions are |             |             |
|                        | read/write for the user, and not    |             |             |
|                        | accessible by others                |             |             |
+------------------------+-------------------------------------+-------------+-------------+
| ~/.ssh/config          | Because of the potential for abuse, |             | 600         |
|                        | this file must have strict          |             |             |
|                        | permissions: read/write for the     |             |             |
|                        | user, and not accessible by others. |             |             |
|                        | It may be group-writable provided   |             |             |
|                        | that the group in question contains |             |             |
|                        | only the user.                      |             |             |
+------------------------+-------------------------------------+-------------+-------------+
| ~/.ssh/identity        | These files contain sensitive data  |             | 600         |
| ~/.ssh/id_dsa          | and should be readable by the user  |             |             |
| ~/.ssh/id_rsa          | but not accessible by others        |             |             |
|                        | (read/write/execute)                |             |             |
+------------------------+-------------------------------------+-------------+-------------+
| ~/.ssh/identity.pub    | Contains the public key for         | 644         |             |
| ~/.ssh/id_dsa.pub      | authentication.  These files are    |             |             |
| ~/.ssh/id_rsa.pub      | not sensitive and can (but need     |             |             |
|                        | not) be readable by anyone.         |             |             |
+------------------------+-------------------------------------+-------------+-------------+

Toutes les citations de la page de manuel sont tirées de http://linuxcommand.org/lc3_man_pages/ssh1.html

Répondu el 11 de Juin, 2020 par Ashutosh Jindal (661 Points )

7 votes

Avatar de the.jxc

N'oublions pas known_hosts > "~/.ssh/known_hosts Contient une liste de clés d'hôte pour tous les hôtes auxquels l'utilisateur s'est connecté et qui ne sont pas déjà dans la liste des clés d'hôte connues à l'échelle du système. [...] Ce fichier doit être accessible en écriture uniquement par root/le propriétaire et peut, mais ne doit pas nécessairement, être lisible par le monde entier." ( linux.die.net/man/8/sshd )

Commenté el 10 de Mars, 2021 par the.jxc

1 votes

Avatar de Alan

Qu'en est-il de 440 pour la clé privée (id_rsa) ? Il y a un groupe de "n" utilisateurs, c'est-à-dire la même personne mais avec des comptes différents, donc x4x devrait convenir ? De plus, la clé privée ne doit pas être modifiée, alors pourquoi mettre 6xx ?

Commenté el 1 de Avril, 2022 par Alan

40voto

akauppi avatar
akauppi Points 3125

Assurez-vous également que votre répertoire personnel n'est pas accessible en écriture par d'autres utilisateurs.

chmod g-w,o-w ~

Répondu el 3 de Janvier, 2013 par akauppi (3125 Points )

11 votes

Avatar de Alex W

Pour votre information, cette commande suppose que vous êtes connecté en tant qu'utilisateur et non en tant que root.

Commenté el 9 de Juin, 2015 par Alex W

6voto

David Yenglin avatar
David Yenglin Points 185

Les autorisations ne devraient pas avoir de rapport avec cela. Votre clé privée est cryptée avec le mot de passe, vous devez donc le saisir pour que la clé privée soit décryptée et utilisable.

Vous pouvez envisager d'exécuter un agent ssh, qui peut mettre en cache les clés déchiffrées et les fournir aux applications qui en ont besoin.

Répondu el 26 de Novembre, 2010 par David Yenglin (185 Points )

0 votes

Avatar de Utilisateur non enregistré

Merci pour les informations supplémentaires sur l'agent ssh. Il semble qu'il y en ait un intégré dans Leopard, je pense donc que je vais le faire. J'ai un peu de mal à l'utiliser mais je vais poser une autre question.

Commenté el 26 de Novembre, 2010 par Utilisateur non enregistré

9 votes

Avatar de Alex W

Ne sous-estimez pas les permissions. Elles entrent toujours en jeu.

Commenté el 15 de Mai, 2015 par Alex W

0 votes

Avatar de David Yenglin

@AlexW Ils entrent en jeu dans d'autres aspects de ssh, mais pas dans celui qui fait l'objet de la question.

Commenté el 25 de Mai, 2015 par David Yenglin
Afficher 2 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X