我创建了一个用户通过SSH登录而没有密码,其用户的目录是/ var / www / html文件夹,所以我在同一个文件夹中有ssh / authorized_keys。这是一个安全问题吗?
答案 0 :(得分:1)
这不是一个真正的安全问题,因为关键对的公共半部就是这样。如果您愿意(如果您的Web服务器是apache),您可以使用Directory设置限制某些安全性偏执。阻止访问sshd目录添加(在您的apache配置文件或.htaccess文件中):
<Directory /var/www/html/.ssh>
Order Deny,Allow
Deny from All
</Directory>
虽然您的密码为空,但仍然需要您的私钥才能获得访问权限(这是密钥对的一半,您必须保持安全并远离公共访问)。再次,如果您仍然想要戴上锡箔帽,编辑您的authorized_keys并将密钥锁定到IP(如果您连接的地方来自静态IP):
from="myhost.ip.address" ssh-rsa AAA....{etc}
也可以帮助你在晚上睡得更好:)
或者你可能想在维基百科上读一下公钥加密的细节:
http://en.wikipedia.org/wiki/Public-key_cryptography
这可能会让你更快入睡!