Перемещение завершено? Есть ли у файлов дескрипторы открытых файлов?
Я спрашиваю, потому что вы можете удалить открытый файл, и он будет удален из списка каталогов, но дисковое пространство не будет освобождено, пока не будет закрыт последний дескриптор открытого файла.
I would expect chmod ~/.ssh 700 -R to break ssh since you just removed read access from your config
Э, нет?
-bash-4.2$ chmod -R 700.ssh
-bash-4.2$ logout
...
% ssh somelinooxbox
...
-bash-4.2$ ls -l.ssh/authorized_keys
-rwx------ 1 jhqdoe xxxxxx 178 Aug 10 2018.ssh/authorized_keys
-bash-4.2$
Так что это не проблема для этого тестового хоста Centos7 для не-root
пользователя(root
также подходит дляchmod -R 700 ~/.ssh
).
Уместным вопросом является «под каким пользователем работает sshd
процесс», который, как можно предположить, может быть либо root
, либо пользователем. root
обычно может читать все файлы (с различными исключениями для NFS или зашифрованных домашних каталогов ), и у пользователя не должно возникнуть проблем с чтением им файла, помеченного как rwx
. И нам не нужно гадать:
% ssh -o ControlMaster=no somelinooxbox
...
-bash-4.2$ sudo sysdig -p %user.uid fd.name = ~/.ssh/authorized_keys
А затем в другом месте сделать новую связь; sysdig
показывает процесс, который читается как ~/.ssh/authorized_keys
как работающий, поскольку пользователь, к которому подключен пользователь, имеет достаточные разрешения даже после запуска chmod -R 700...
.
Конечно, добавление случайных +x
битов в лучшем случае бесполезно, а в худшем может сделать исполняемым что-то, чего на самом деле быть не должно, поэтому см. другой ответ на трюк X
или иным образом убедитесь, что каталоги получают 0700, а файлы 0600.
(Могут быть сложности с программным обеспечением, таким как selinux или apparmour, но это всего лишь дополнительная банка пчел поверх обычных разрешений.)
Как насчет символьного режима. Большинство современных chmod
ов, но не все это умеют.
chmod -R go=,u=rwX ~/.ssh
Это позволит выполнять только каталоги, удалит разрешение для группы и других и даст вам полные разрешения.