Basic конфигурация SSH

I would expect chmod ~/.ssh 700 -R to break ssh since you just removed read access from your config

Э, нет?

-bash-4.2$ chmod -R 700.ssh
-bash-4.2$ logout
...
% ssh somelinooxbox
...
-bash-4.2$ ls -l.ssh/authorized_keys
-rwx------ 1 jhqdoe xxxxxx 178 Aug 10  2018.ssh/authorized_keys
-bash-4.2$ 

Так что это не проблема для этого тестового хоста Centos7 для не-rootпользователя(rootтакже подходит дляchmod -R 700 ~/.ssh).

Уместным вопросом является «под каким пользователем работает sshdпроцесс», который, как можно предположить, может быть либо root, либо пользователем. rootобычно может читать все файлы (с различными исключениями для NFS или зашифрованных домашних каталогов ), и у пользователя не должно возникнуть проблем с чтением им файла, помеченного как rwx. И нам не нужно гадать:

% ssh -o ControlMaster=no somelinooxbox
...
-bash-4.2$ sudo sysdig -p %user.uid fd.name = ~/.ssh/authorized_keys

А затем в другом месте сделать новую связь; sysdigпоказывает процесс, который читается как ~/.ssh/authorized_keysкак работающий, поскольку пользователь, к которому подключен пользователь, имеет достаточные разрешения даже после запуска chmod -R 700....

Конечно, добавление случайных +xбитов в лучшем случае бесполезно, а в худшем может сделать исполняемым что-то, чего на самом деле быть не должно, поэтому см. другой ответ на трюк Xили иным образом убедитесь, что каталоги получают 0700, а файлы 0600.

(Могут быть сложности с программным обеспечением, таким как selinux или apparmour, но это всего лишь дополнительная банка пчел поверх обычных разрешений.)