Я следовал общепринятой практике, разрешая вход в Debian только с помощью открытого ключа по SSH, а затем каким-то образом случайно изменил права доступа к папке ~/.ssh/ (думаю, она стала принадлежать пользователю root), после чего openSSH отказался входить в систему! (а сервер находился в другой стране, без удаленной/KVM-консоли)
Я нахожу эту настройку довольно хрупкой. Есть ли способ предотвратить это, и, может быть, просто дать мне предупреждение при следующем входе?
Если решения не будет, то мне придется установить надежный пароль для входа в качестве запасного варианта, что бы ни говорили остальные.
Нашел похожий вопрос о блокировке, но основной причиной было изменение iptable/конфигурации: Предотвращение блокировки при настройке SSH и iptables Я не менял конфигурацию, поэтому не ожидал блокировки.
решение1
Хостам нужен альтернативный метод доступа, если они должны быть восстановлены. ssh через интернет требует, чтобы все работало нормально: сетевой доступ, правило разрешения брандмауэра, запущенный и настроенный sshd, защищенные файлы ключей. Любой из этих разрывов не может войти. Самый надежный внешний доступ не зависит от работы IP-сети на хосте.
Если это виртуальная машина, возможно, выключите ее и подключите диск к другому работающему экземпляру, чтобы починить его. Не идеально, но требует только доступа к диску.
Резервное копирование данных вне хоста позволяет создать новый заменяющий хост. Может показаться глупым уничтожать и восстанавливать только потому, что был потерян доступ по ssh, но это остается вариантом восстановления.
Что касается предотвращения проблемы в первую очередь, проверка синтаксиса конфигурации sshd ( sshd -T -fдля OpenSSH) не поймает все. Сквозное тестирование можно провести, запустив другой sshd на другом порту, со всем тем же, кроме номера порта. Подключитесь к нему удаленно, чтобы проверить, что все работает. К сожалению, даже такие меры предосторожности не позволят поймать непреднамеренные вещи, такие как изменение прав доступа к домашним каталогам, которое случайно делает файлы ssh незащищенными. Или изменение IP, которое может изменить эффективный ssh_configиз-за Matchключевых слов.
Пароли остаются ужасным механизмом аутентификации.