В сложной настройке, когда пользователь подключается к удаленному хосту с помощью авторизованного закрытого ключа, существует папка .sshс настройками пользователя и ключами, связанными с удаленным хостом.
Можно ли запретить подключенному пользователю читать содержимое папки .ssh(которое по сути читается для разрешения текущего подключения)?
Один из вариантов, который я могу себе представить (но пока не знаю, как реализовать), — это использование модифицированной оболочки, которая запрещает консольный доступ к папке, а также запрещает запуск настоящей оболочки.
Другой вариант — создать chrootпесочницу при входе в систему, но не уверен, насколько это безопасно для этой цели.
Любые идеи приветствуются.
решение1
Я предполагаю, что вы хотите ограничить доступ пользователя к .ssh, чтобы предотвратить распространение файлов authorized_keys.
Проверитьhttps://keyper.dbsentry.com(Полное раскрытие информации: я разработчик и работаю над тем, чтобы сделать его открытым.) Он хранит все авторизованные открытые ключи пользователей в центральном месте. Вы можете отключить локальный поиск authorized_keys и таким образом предотвратить распространение authorized_keys.
Если это не было целью ограничить доступ к .ssh, то прошу прощения, я поторопился, не до конца разобравшись в проблеме.