SSH com chaves autorizadas para um sistema Ubuntu com homedir criptografado?

38

Recentemente, configurei um novo servidor com o Ubuntu karmic 9.10 e, quando criei meu diretório pessoal, optei por criptografá-lo. Agora, depois de carregar meu arquivo allowed_keys no ~ / .ssh, ele não é reconhecido porque meu diretório pessoal não é descriptografado até depois que eu logo. Existe uma maneira de fazer com que as chaves SSH funcionem com diretórios pessoais criptografados no Ubuntu?

ssh disk-encryption

— Josh
fonte

Boas sugestões de tags foram bem-vindas, não foi possível encontrar correspondências realmente boas nas tags sugeridas.

— 26909 Josh

1

Eu acho que essas são verdadeiras. há uma ubuntutag, mas não acho que esse problema seja específico de nenhum sistema operacional em particular.

— quack quixote

Um sintoma desse problema para mim no Ubuntu 11.10 é que a primeira tentativa de ssh na máquina é que a autenticação por senha é necessária (já que authorized_keysainda não está acessível). Se eu iniciar outra conexão ssh, a autenticação de chave funcionará.

— usar o seguinte

39

Mude esta linha no seu arquivo sshd_config:

AuthorizedKeysFile /etc/ssh/%u/authorized_keys

E então mova seu arquivo allowed_keys para / etc / ssh / your-username / allowed_keys

Esta postagem documenta outra maneira de resolver isso.

— djhowell
fonte

1

Eu pensei que a primeira solução parecia perfeita, mas não funcionou para mim. Não sei por que. Mas a postagem que você vinculou funcionou muito bem. Obrigado!

— 21289 Josh

3

Josh - o usuário de destino é o proprietário desses arquivos e possui permissões 600 (700 para o dir)?

— NVRAM

1

Veja este link para obter instruções completas: Chaves SSH no Ubuntu . Role para baixo até a seção de solução de problemas.

— jjeaton

8

Esta solução foi inspirada neste post . IMHO é muito melhor do que modificar o seu / etc / ssh / sshd_config, pois não requer acesso root.

# Make your public key accessible
mkdir -m 700 /home/.ecryptfs/$USER/.ssh
echo $YOUR_PUBLIC_KEY > /home/.ecryptfs/$USER/.ssh/authorized_keys
ln -s /home/.ecryptfs/$USER/.ssh/authorized_keys ~/.ssh/authorized_keys
ecryptfs-umount-private
chmod 700 $HOME
mkdir -m 700 ~/.ssh
ln -s /home/.ecryptfs/$USER/.ssh/authorized_keys ~/.ssh/authorized_keys

# Make it auto-mount with first login.
# Note: it can cause problems with automated login.
echo /usr/bin/ecryptfs-mount-private > ~/.profile
echo cd >> ~/.profile
echo source .profile >> ~/.profile
ecryptfs-mount-private

— Marc-Antoine
fonte

3

Você pode fornecer uma declaração resumida do que isso realmente faz?

— Mindless.panda

Eu fiz uma edição para explicar o que acontece: você economiza sua chave pública (s) com o qual você deseja acessar a máquina authorized_keysem /home/**.ecryptfs**/$USERsem criptografia e link para ele de você criptografada casa, bem como a sua casa sem criptografia. O novo .profileem sua casa não criptografada deve montar seu diretório pessoal criptografado, "cd" nele e obter o seu real .profile.

— LiveWireBT

Funciona conforme o esperado em uma nova instalação 16.04. Poucas observações: a casa não criptografada não era gravável (o que faz sentido, você não deseja que os usuários subvertam tudo armazenando dados acidentalmente lá); portanto, altere as permissões temporariamente. Também é preciso fazer tudo isso no terminal, desconectado da GUI e do lightdm ou em qual DM que você está usando parou. ecryptfs-mount-privatesolicita a senha do usuário todas as vezes após o login bem-sucedido por meio de chaves públicas, a menos que você esteja logado na GUI. Minha edição substitui alguns ecos por um documento aqui, é menos repetitivo para digitar, não se confunda com isso.

— LiveWireBT

2

Passei algum tempo brincando com isso, e a resposta é que é basicamente fundamentalmente impossível. Ele é possível configurar logins-chave pública autenticados-sem senha via ssh, para que você não tem que digitar sua senha para logar-se , mas isso não leva a lugar nenhum, porque a sua pasta pessoal ainda está criptografada.

O simples fato é que seu diretório pessoal criptografado é criptografado com uma senha *, portanto, a única maneira de descriptografá-lo é com essa senha.

E se você está pensando que, em teoria, deve ser possível usar sua chave ssh para descriptografar a senha de montagem no login, isso não funcionará porque sua chave privada nunca é enviada ao servidor.

Então, basicamente, se você deseja criptografia, precisa usar senhas. Diretórios pessoais criptografados são incompatíveis com logins de impressões digitais pelo mesmo motivo.

* Eu sei que é mais complicado que uma única senha, mas vamos simplificar por enquanto.

— Ryan C. Thompson
fonte

Bem, a resposta de djhowell funcionou perfeitamente, de modo que, provavelmente, meu diretório pessoal está criptografado com uma chave que o sistema operacional possui e é capaz de usar para descriptografá-lo. Além disso, quando o SSH entra, o sshd não sabe como descriptografar o diretório doméstico, de modo que não explica por que ele funciona com a autenticação de senha.

— 21289 Josh

Espere, então, quando você efetua login via ssh sem digitar nenhuma senha, seu diretório pessoal criptografado é montado?

— Ryan C. Thompson

Sim. E desmontado quando eu sair.

— 28289 Josh

Bem, isso é estranho. Eu recebo o comportamento que descrevo na minha resposta. Meu diretório particular só é montado se meu login envolver uma senha (especificamente, minha senha de login). Gostaria de saber o que você fez de diferente para fazê-lo funcionar com chaves públicas.

— 22919 Ryan C. Thompson

@Ryan Thompson você está usando o Ubuntu 9.10?

— 28289 Josh

1

Se você não gosta de modificar a configuração padrão (eu não gosto, eu gosto que meus arquivos estejam onde eu espero que estejam), convém dar uma olhada no meu post sobre como fazer isso:

http://www.enetworkservices.net/wordpress/ssh-public-keys-with-encrypted-home-directory.html

Em resumo. Você coloca suas chaves na versão criptografada do usuário ~/.sshe vincula a versão criptografada ~/.sshao outro. Desta forma, está sempre lá.

Para as pessoas preguiçosas como eu, aqui está um script para fazer isso por você. Basta executá-lo como o usuário normal. Não é necessário acesso ou permissões raiz e não são necessárias alterações na configuração do servidor. Configurações normais do usuário puro.

#!/bin/bash
#
# Encrypted Home DIR SSH Key fix.
# Requires modification to sshd_config
#  AuthorizedKeys /etc/ssh/authorized_keys/%u/authorized_keys
# sudo mkdir /etc/ssh/authorized_keys -m 777
# for existing users run from home directory when login.
# for new users modify /etc/skel to include .bashrc to call script.
#
# Author: Benjamin Davis <bdavis@enetworkservices.net>

# Check if directory exists.
if [ ! -d "/etc/ssh/authorized_keys/$LOGNAME" ]
then
    # Make directory with restricted permissions.
    echo "Creating user ssh directory."
    mkdir /etc/ssh/authorized_keys/$LOGNAME -m 700
fi

# Check real users home .ssh folder
if [ -d "/home/$LOGNAME/.ssh" ]
then
    # Check if dir is symlink
    if [ ! -h /home/$LOGNAME/.ssh ]
    then
        echo "Moving configs."
        mv /home/$LOGNAME/.ssh/. /etc/ssh/authorized_keys/$LOGNAME/.
        rm -rf /home/$LOGNAME/.ssh/
        ln -s -T /etc/ssh/authorized_keys/$LOGNAME /home/$LOGNAME/.ssh
        clear
    fi
else
    # Does not exist so link it.
    if [[ $EUID -ne 0 ]]
    then
        echo "User ssh config folder does not exist. Creating."
        mkdir /home/$LOGNAME/.ssh -m 700
        ln -s -T /etc/ssh/authorized_keys/$LOGNAME /home/$LOGNAME/.ssh
    fi
fi

— B. Davis
fonte

0

Você pode usar a chave pública mais segura para efetuar login e executar o seguinte para montar seu diretório depois de digitar sua senha:

ecryptfs-mount-private

Leia o ~/README.txtarquivo depois de efetuar o login via SSH; você descobrirá que não possui seus arquivos porque o diretório criptografado não está montado.

Você não deve usar chaves públicas sem senha para fazer login de qualquer maneira. Veja o ssh-agent para uma maneira melhor.

— Gaff
fonte