Eu gerencio um sistema legado ao qual vários clientes se conectam para consumir arquivos grandes de dados científicos. Atualmente, esses usuários se conectam via SFTP e, devido à enorme diversidade de níveis de experiência e casos de uso, a autenticação por senha tem sido a maneira mais fácil de trabalhar com todos eles. Muitos deles são apenas pessoas de vendas conectando-se a partir do Windows e usando algo como o FileZilla, e isso causaria uma enorme carga de suporte.
Um novo cliente insistiu (justificadamente) na autenticação de chave pública SSH. Qual é a melhor maneira de fornecer essa opção ao meu novo cliente sem interromper as estratégias de autenticação que meus outros 100 clientes estão usando?
Meu sshd_config atual é assim:
Match group sftpusers
ChrootDirectory /sftp/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -l VERBOSE -f LOCAL6
Obviamente, tive que adicionar uma linha anterior "PasswordAuthentication yes" mais acima no arquivo.
O servidor está configurado para permitir apenas logins de SFTP para usuários, e todos os usuários finais são membros desse grupo de "sftpusers".
Acompanhar uma pergunta idiota: onde eu colocaria uma chave SSH para um usuário sem pasta pessoal?
Where would I even place an SSH key for a user with no home folder?
Existe a opção AuthorizedKeysFile , que define o local para as chaves autorizadas serem armazenadas. O padrão é o diretório inicial, mas não precisa ser. Muito comum é também esta configuração:
AuthorizedKeysFile /etc/ssh/%u/authorized_keys