Почему рекурсивное добавление разрешений на чтение в / etc нарушило работу ssh?
По причинам, которым я слишком стесняюсь поделиться, я выполнил эту команду как root на удаленном компьютере. server:
chmod a+r -R /etc
После выхода из сеанса SSH я не смог снова подключиться к SSH:
$ ssh myusername@<HOST>
Connection closed by <HOST> Port 22
Теперь я понимаю, что приведенный выше chmod был огромной ошибкой. Тем не менее, похоже, что он должен был просто добавить разрешения на чтение для всего, а не удалять какие-либо разрешения, верно? Мой вопрос: как именно это нарушило SSH?
(Кроме того, если кто-то обнаружит, что это произошло из-за аналогичной ошибки, я восстановил разрешения по умолчанию / etc , используя этот ответ , но мне очень повезло, что соединение SSH все еще открыто в другом месте для этого.)
2 ответа
SSH придирчиво относится к ключевым разрешениям. Приватные ключи не должны быть доступны для чтения никому, кроме пользователя, и это включает в себя ключи хостов для sshd, которые не смогли найти достаточно безопасный ключ хоста. Пример журнала из моей системы, после выполнения sudo chmod o+r /etc/ssh/*key:
Apr 23 15:59:31 muru sshd[21516]: error: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Apr 23 15:59:31 muru sshd[21516]: error: @ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Apr 23 15:59:31 muru sshd[21516]: error: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Apr 23 15:59:31 muru sshd[21516]: error: Permissions 0604 for '/etc/ssh/ssh_host_ed25519_key' are too open.
Apr 23 15:59:31 muru sshd[21516]: error: It is required that your private key files are NOT accessible by others.
Apr 23 15:59:31 muru sshd[21516]: error: This private key will be ignored.
Apr 23 15:59:31 muru sshd[21516]: sshd: no hostkeys available -- exiting.
Вы изменили разрешения рекурсивно для всего, что находится под / и т. Д. . Большая часть вашего программного обеспечения хранит важные файлы в этом каталоге.
Во многих случаях изменение разрешений для файлов, необходимых для вашего программного обеспечения, может привести к тому, что программное обеспечение не будет работать должным образом.
Вы, вероятно, взломали гораздо больше, чем ssh . Вам, вероятно, потребуется переустановить операционную систему, поскольку нет простого способа отменить ущерб, который может вызвать эта команда: разрешения не одинаковы для всех файлов в этом каталоге.