Jag har skrivit om det tidigare i detta inlägget: http://securit.se/2011/01/anvand-ssh-tillsammans-med-krypterad-hemkatalog-ubuntu/

Det finns ett script med i ssh-paketet som heter ssh-copy-id som för över den publika nyckeln och fixar rättigheterna på mapp och fil. Problemet är att den (liksom din genomgång) använder ~/.ssh/authorizedkeys som “databas” över publika nycklar, vilket ställer till problem om användaren krypterar sin hemkatalog (det går ju inte läsa ~/.ssh/authorizedkeys förrän den är avkrypterad och den avkrypteras inte förrän användaren loggat in, vilket kräver ~/.ssh/authorizedkeys).

Jag har läst att det ska gå att fixa detta moment 22 genom att ändra i /etc/ssh/sshd_config, men en sådan ändring ignorerar ju skriptet ssh-copy-id typiskt nog. Vet du hur man får det att fungera magiskt själv?

I min omarbetade engelska version så tar jag knappt upp byte av port eftersom det blir någon form av “säkerhet via oordning” som inte ger något i praktiken förutom försvårar spridningen om tjänsten råkar ut för något 0-day och i värsta fall i kombination med en mask som gör att man klarar sig för att man har tur. Jag skall ändra lite i min formulering.

// Johan

Vad gäller root-login så tycker jag det om inte annat kan var rimligt för en del backupjob, även om det strikt sett även kan gå att lösa med sudo. Hursom tycker jag då vara en rimlig tradeoff där är att sätta PermitRootLogin till forced-commands-only.

Vad gäller att veta att man ansluter till rätt maskin så är ju annars DNSSEC och SSHFP en fin kombination.