在用户使用授权私钥连接到远程主机的复杂设置中,有一个.ssh文件夹包含与远程主机相关的用户设置和密钥。
是否可以禁止连接的用户读取.ssh文件夹的内容(本质上是读取以允许当前连接)?
我能想到的一个选项(但还不知道如何实现)是使用修改后的 shell,该 shell 不允许控制台访问该文件夹,也不允许运行真实的 shell。
另一个-在登录时组成chroot沙箱,但不确定它有多安全。
任何想法都值得赞赏。
答案1
我假设您想限制用户对 .ssh 的访问,以防止 authorized_keys 文件的激增。
查看https://keyper.dbsentry.com(全面披露:我是开发人员,正在努力实现开源。)它将所有用户的授权公钥存储在一个中心位置。您可以禁用本地 authorized_keys 查找,这样就可以防止 authorized_keys 扩散。
如果这不是限制 .ssh 访问的目的,我很抱歉,我说得太早了,没有完全理解问题所在。