permissão negada em authorized_keys

Question

permissão negada em authorized_keys

#1 resposta do (3 votos)
#2 resposta do (0 votos)

1

Estou tentando configurar o SFTP para usuários com chroot e usar a autenticação de chave pública SSH. Neste exemplo, trabalharei com o usuário fictício "globocorp" que é membro de "sftpusers". Este usuário é chrooted para / sftp / globocorp

Eu coloquei minha chave pública no local especificado em meu sshd_config: /sftp/globocorp/sftpdirectory/.ssh/authorized_keys

Quando o usuário remoto tenta se conectar ao servidor via SFTP de linha de comando, essa mensagem é registrada no servidor:

debug1: trying public key file /sftpdirectory/.ssh/authorized_keys
debug1: Could not open authorized keys '/sftpdirectory/globocorp/.ssh/authorized_keys': Permission denied

Eu revi as permissões e recomendações - executei estes comandos:

chown globocorp:sftpusers /sftpdirectory/globocorp/.ssh
chmod 700 /sftpdirectory/globocorp/.ssh
chmod 600 /sftpdirectory/globocorp/.ssh/authorized_keys

A saída ls -l na pasta .ssh se parece com:

drwx------ 2 globocorp         sftpusers 4.0K Nov  3 15:04 .ssh

e o arquivo individual:

-rw------- 1 globocorp sftpusers  406 Nov  3 12:13 authorized_keys

Informações completas de depuração do sshd (lado do servidor) são as seguintes:

debug1: sshd version OpenSSH_5.3p1
debug1: private host key: #0 type 0 RSA1
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
Set /proc/self/oom_score_adj from 0 to -1000
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
debug1: Bind to port 22 on ::.
Server listening on :: port 22.
Generating 1024 bit RSA key.
RSA key generation complete.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: inetd sockets after dupping: 3, 3
Connection from 192.168.102.109 port 38946
debug1: Client protocol version 2.0; client software version OpenSSH_6.6.1
debug1: match: OpenSSH_6.6.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-1.99-OpenSSH_5.3
debug1: permanently_set_uid: 74/74
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user globocorp service ssh-connection method none
debug1: attempt 0 failures 0
debug1: user globocorp matched 'User globocorp' at line 150
debug1: user globocorp matched group list sftpusers at line 158
debug1: PAM: initializing for "globocorp"
debug1: PAM: setting PAM_RHOST to "192.168.102.109"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: userauth-request for user globocorp service ssh-connection method     publickey
debug1: attempt 1 failures 0
debug1: test whether pkalg/pkblob are acceptable
debug1: temporarily_use_uid: 559/506 (e=0/0)
debug1: trying public key file     /sftp/globocorp/sftpdirectory/.ssh/authorized_keys
debug1: Could not open authorized keys '/sftp/globocorp/sftpdirectory/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 559/506 (e=0/0)
debug1: trying public key file /sftp/globocorp/sftpdirectory/.ssh/authorized_keys
debug1: Could not open authorized keys '/sftp/globocorp/sftpdirectory/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for globocorp from 192.168.1.19 port 38946 ssh2
Connection closed by 192.168.1.19
debug1: do_cleanup
debug1: do_cleanup
debug1: PAM: cleanup

Informação de fundo:
O SELinux está desativado.
CentOS 6,5
Executando o OpenSSH_5.3p1
SFTP -vv apenas diz: "Permissão negada (publickey, gssapi-keyex, gssapi-com-mic). Não foi possível ler o pacote: Connection reset by peer"

authentication security chroot sftp linux

por esoterydactyl 04.11.2015 / 00:09

2 respostas

Tags authentication security chroot sftp linux

O Google Cloud SQL é tolerante a falhas quando há réplica? Solução alternativa de backup para máquinas virtuais IaaS v2 no Azure?

score 3 · Answer 1

Eu entendi!

Seguindo as instruções neste site: link

Como root, criei uma pasta separada em:

 /usr/local/share/keys/globocorp/.ssh/

Esta pasta é de propriedade de root, permissões definidas como "755"
O arquivo authorized_keys está nesta pasta e pertence ao usuário, com as permissões definidas para 600.

sshd_config contém esta linha:

AuthorizedKeysFile /usr/local/share/keys/%u/.ssh/authorized_keys

E este bloco de correspondência:

Match user globocorp
        ChrootDirectory /sftp/%u
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp -l VERBOSE -f LOCAL6
        PubkeyAuthentication yes
        PasswordAuthentication yes

Então, em conclusão:
As authorized_keys de um usuário chrooted PODEM estar em um local do qual o usuário é rooteado. Isso ocorre porque o chroot não é processado até depois do login. As permissões devem ser EXATAMENTE conforme descrito acima - nenhuma outra permissão funcionou. (Não 700 no diretório pai) Os caminhos definidos em sshd_config são absolutos (/ = o / do servidor, não o chroot do usuário!)

Para depurar isso, usei este comando para executar o sshd em uma porta separada (23) e não interromper as sessões existentes:

/usr/sbin/sshd -d -p 23

E, em seguida, tentou se conectar via SFTP de um servidor remoto. Isso fez com que o servidor emitisse mensagens de depuração úteis que explicavam claramente o que estava acontecendo nas minhas tentativas de login.

score 0 · Answer 2

debug1: Could not open authorized keys '/sftp/globocorp/sftpdirectory/.ssh/authorized_keys': Permission denied

Verifique se o usuário com UID / GID 559/506 tem pelo menos permissões de execução (execução) para todos os diretórios no caminho /sftp/globocorp/sftpdirectory/ . Se eles não o fizerem, adicione-o.