Evitare problemi con SSH in un collettivo

Impara a evitare problemi con SSH in un collettivo. I problemi di sicurezza di solito si riferiscono a un utente che non ha accesso a una risorsa perché la sicurezza è troppo restrittiva. L'opzione di configurazione SSH StrictModes protegge i file di chiavi pubbliche e private dal problema opposto, quando la sicurezza è troppo permissiva. SSH fornisce comunicazioni sicure tra i sistemi senza l'autenticazione della password, ma SSH non funziona se le autorizzazioni su determinate directory e file non sono abbastanza rigide.

Informazioni su questa attività

Il Collective Controller utilizza SSH per avviare e arrestare i membri del collective. Admin Center utilizza anche SSH quando si visualizzano e si modificano i file di configurazione. Entrambe queste funzioni hanno esito negativo se alcune autorizzazioni di file e directory SSH sono troppo permissive.

Per il supporto SSH su z/OS®, vedere IBM® Ported Tools for z/OS : OpenSSHUser's Guide nella documentazione OpenSSH.

Che cos' è SSH?: Gli script collettivi creano i file che il controller utilizza per accedere ai servizi del membro che utilizzano l'autenticazione della chiave pubblica e privata, che è il metodo SSH di autenticazione più sicuro. Per proteggere le chiavi di autenticazione delle chiavi pubbliche e private, è necessario limitare l'accesso ai file che contengono le chiavi all'utente proprietario delle chiavi.
Le autorizzazioni sulle directory o sui file che contengono chiavi SSH non devono consentire l'accesso in scrittura al gruppo UNIX o ad altri bit di autorizzazione. Ad esempio, SSH non funziona correttamente se le autorizzazioni sono 770, 775 o 777.
StrictModes: OpenSSH abilita per default l'opzione StrictModes . StrictModes disabilitare l'utilizzo dell'autenticazione della chiave pubblica e privata se i file richiesti non sono protetti correttamente per proteggere i file della chiave pubblica quando la sicurezza è troppo rilassata.
Risoluzione dei problemi di SSH: Quando si risolvono problemi di sicurezza collettivi in cui il controller non può avviare o arrestare un membro o non è possibile visualizzare o modificare i file di configurazione utilizzando il Centro di gestione, se si disabilita StrictModes e il problema viene risolto, la proprietà, il gruppo o l'accesso globale alle directory ssh o ai file correlati all'autenticazione della chiave pubblica e privata non sono corretti. Correggere l'accesso e riabilitare StrictModes.

Procedura

Controllare il file di configurazione del daemon OpenSSH /etc/ssh/sshd_config .

L'opzione StrictModes è abilitata se è impostata su yes, commentata o non presente. L'opzione StrictModes potrebbe determinare che la sicurezza è troppo rilassata. Di conseguenza, il Collective Controller non è in grado di avviare un membro perché l'accesso SSH al server non riesce.

Per gli ID utente associati al controller e ai server membri, gli ID utente devono essere proprietari e disporre delle autorizzazioni appropriate per le seguenti directory e file:

Directory o file	Autorizzazioni
Directory home	700
Sottodirectory .ssh nella relativa directory home	700
/.ssh/authorized_keys file	600
/<`server_config`>/resources/security/ssh/ directory	700
/<`server_config`>/resources/security/ssh/id_rsa file	600
/<`server_config`>/resources/security/ssh/id_rsa.pub file	600, per default. È possibile modificare le autorizzazioni in 640 o 644 per rendere la chiave pubblica leggibile.